QRadar: データ・リバランスの進行中にデータ・ノードが接続されているイベント・プロセッサーを削除することができない事象について

Troubleshooting

Problem

データ・リバランスの進行中に、データ・ノードが接続されているイベント・プロセッサーを削除することができません。

Symptom

イベント・プロセッサーを削除しようとすると、QRadar GUI に以下のメッセージが表示されます:

"The selected host currently has a data node rebalancing in its cluster. Cannot modify the host while this is occurring."

Cause

QRadar® は、データ・リバランスの進行中にイベント・プロセッサーの追加または削除することはできません。

Resolving The Problem

削除を続行するには、以下 2 つの選択肢があります:

リバランスが完了するまで待機してください。リバランスの状況を確認するには、リンク内の手順で確認を行ってください。
イベント・プロセッサー上で以下のコマンドを実行し、リバランスを手動で停止してください:

/opt/qradar/support/jmx.sh -p 7782 –b 'com.ibm.si.ariel.dcs.config:application=ariel_query.ariel_query_server,type=DataClusterConfiguration' -o stop

コマンドが終了した後、リバランスが停止したかどうかをユーザー・インターフェースで確認してください。リバランスが停止している場合は、イベント・プロセッサーの削除を改めて試行することができます。

場合によって、コマンドを実行した後でもユーザー・インターフェース上のステータスがデータ・リバランスの停止状態を反映していない場合があります。そのような場合は、以下の手順を行ってください:

グループ内のデータ・ノード(イベント・プロセッサーに接続されているすべてのデータ・ノード)上で、ホスト・コンテキストおよびホストサービス・プロセスを停止してください。
```
systemctl stop hostcontext
systemctl stop hostservices
```
以下のコマンドを実行し、イベント・プロセッサー上の QRadar サービスをリスタートします:
```
systemctl stop hostcontext
systemctl restart hostservices
systemctl start hostcontext
```
イベント・プロセッサー上で、すべてのプロセスが実行中であることを確認します:
```
/opt/qradar/upgrade/util/setup/upgrades/wait_for_start.sh
```
wait_for_start スクリプトが基本となるすべてのプロセスが実行中であることを示している場合、データ・ノード上のホスト・コンテキストおよびホストサービス・サービスをリスタートします。
```
systemctl start hostservices
systemctl start hostcontext
```
データ・ノード上で、すべてのプロセスが実行中であることを確認します:
```
/opt/qradar/upgrade/util/setup/upgrades/wait_for_start.sh
```
一旦すべてのサービスをデータ・ノードおよびイベント・プロセッサーの両方で稼働させ、イベント・プロセッサー上のリバランスを再停止するために、以下のコマンドを実行します。
```
/opt/qradar/support/jmx.sh -p 7782 –b 'com.ibm.si.ariel.dcs.config:application=ariel_query.ariel_query_server,type=DataClusterConfiguration' -o stop
```
このリンクに記載されている手順でリバランス状況を確認してください。一旦リバランスが停止したら、イベント・プロセッサーの削除を行います。

注:

関連するデータ・ノードを持つイベント・プロセッサーは、最初にデータ・ノードが削除されるまでデプロイメントからは削除できません。
データ・ノードをデプロイメントから削除しても、イベント・プロセッサーにそのデータはコピーされません。データ・ノードが削除されると、そのノード上のデータは検索できなくなります。

Related Information

QRadar: Unable to remove Event Processor with a Data Node attached to it, when …

Document Location

Worldwide

[{"Type":"SW","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwtNAAQ","label":"Deployment"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Version(s)"}]

Product Synonym

Qradar, データ・ノード, イベント・プロセッサー

Was this topic helpful?

Document Information

Modified date:
17 February 2022

UID

ibm16486853

Tips