How To
Summary
QRadar はルールおよびレポートの通知を E メールで送信しますが、予期したとおりに送信しない場合があります。
Objective
現在の E メール構成の検証および配信問題のトラブルシューティング
Steps
QRadar のメール構成の検証
最初のステップとして、メール・サーバーが正しく設定されていることを確認してください。コンソールおよび各イベント・プロセッサーまたはフロー・プロセッサーのメール・サーバーの構成を確認します。メール・レスポンスは、各ルールが一致するプロセッサーから送信されます。レポートはコンソールから E メールで送信されます。
メール・サーバーの構成を確認するには:
- 「管理」タブ > 「システムおよびライセンス管理」の順にクリックします。
- 「ホスト」をクリックし、「 E メール・サーバー」をダブルクリックします。
- QRadar 7.3 およびそれ以前のバージョンでは、各ホストに対して手動でメール・サーバーを入力します:
- QRadar 7.4 およびそれ以降では、保存されているメール・サーバーを選択し、該当ページにあるリンクからメール・サーバーを管理することができます:
メール・サーバーを追加する必要がある場合は、「 E メール・サーバーの管理」をクリックし、必要なサーバー情報を追加してください:
- 「 localhost 」が選択されていると、 E メールの送信に失敗する可能性があるため、「 localhost 」が選択されていないことを確認してください。メール・サーバーが保存されていない場合は、この画面で設定するためにメール・サーバー情報を入力(追加)してください。
- QRadar 7.4 およびそれ以降では、「接続テスト」をクリックし、 UI で接続をテストすることができます。テストが失敗した場合は、 QRadar と宛先メール・サーバーの間に接続の問題があります。接続の問題は、ネットワークの問題あるいは宛先メール・サーバーの権限の問題である可能性があります。その例として、 QRadar サーバーが宛先メール・サーバー上で有効なソース IP として認識されていない場合があります。
- 次に CLI へ移動し、手動で接続をテストします。接続をテストするための詳細なステップは、以下のリンクをご参照ください:
QRadar: QRadar での email サービスのテスト方法
postfix および maillog ロギングの確認
postfix から提供されるエラーは詳細であるため、問題を簡単に見つけることができます。確認するメール・ログ・ファイルは /var/log/maillog で、ここでは postfix からの全てのログを確認できます。(メール送信、送信の失敗、 postfix の再起動など) メール送信時の通常の事例は、次の例のようになります:
Mar 11 12:14:29 qradar74-console-primary postfix/pickup[19453]: 811511FB: uid=0 from=<root>
Mar 11 12:14:29 qradar74-console-primary postfix/cleanup[5884]: 811511FB: message-id=<20210311171429.811511FB@qradar74-console-primary.lab.local>
Mar 11 12:14:29 qradar74-console-primary postfix/qmgr[27341]: 811511FB: from=<root@qradar74-console-primary.lab.local>, size=1029, nrcpt=1 (queue active)
Mar 11 12:14:29 qradar74-console-primary postfix/local[5889]: 811511FB: to=<root@qradar74-console-primary.lab.local>, orig_to=<root>, relay=local, delay=440,
delays=440/0.02/0/0.01, dsn=2.0.0, status=sent (delivered to mailbox)
Mar 11 12:14:29 qradar74-console-primary postfix/qmgr[27341]: 811511FB: removed
この例では、メッセージの ID は 811511FB です。特定のメッセージ ID を grep し、 maillog ファイル内の関連する行を分離することができます。「 removed 」というメッセージは、メッセージが宛先メール・サーバーに正常に送信されたためにローカル・キューから削除されたことを示します。メッセージがまだ宛先メールボックスに配信されていない場合は、メール・サーバーに問題がある可能性があり、引き続きメール・サーバーの管理者がフォローする必要があります。
以下は、UI にメール・サーバーが設定されていない、またはローカル・ホストに設定されていないことを示します。(注 relay=none ):
Jan 26 17:18:13 xxxxx postfix/smtp[63019]: D2579807C90: to=<xxxx@yyyy.com>, relay=none, delay=0.14,
delays=0.13/0.01/0/0, dsn=4.3.5, status=deferred (mail for localhost loops back to myself)
一般的な問題: Postfix が MX レコードを使用している
Postfix で MX レコードを使用している:
maillog で送信に失敗するメールは、次のようなメッセージで表示される場合があります:
Apr 7 22:32:39 qradar_hostname postfix/smtp[2504]: 062D9401438: to=<xxxx@yyyy.com>, relay=none,
delay=155825, delays=155825/0.03/0.02/0, dsn=4.4.3, status=deferred (Host or domain name not found.
Name service error for name=<mailserver> type=MX: Host not found, try again)
ここで注目する箇所は、「 type=MX 」です。この設定は、 postfix が mail exchage レコード( MX レコード)を使用していることを示しています。DNS の「 mail exchange 」( MX ) レコードが、E メールをメール・サーバーに送信します。正しくないサーバーを指定している、またはレコードがまったくない場合は、エラー・メッセージに表示されているように E メールの送信に失敗します。強制的に postfix を UI で指定されたリレー・ホストで使用するには、 /etc/postfix/main.cf ファイル内の以下の部分を参照してください。
# The relayhost parameter specifies the default host to send mail to
# when no entry is matched in the optional transport(5) table. When
# no relayhost is given, mail is routed directly to the destination.
#
# On an intranet, specify the organizational domain name. If your
# internal DNS uses no MX records, specify the name of the intranet
# gateway host instead.
#
# In the case of SMTP, specify a domain, host, host:port, [host]:port,
# [address] or [address]:port; the form [host] turns off MX lookups.
#
# If you're connected via UUCP, see also the default_transport parameter.
#
relayhost=testmailserver.com
MX ルックアップが無効になるように、 [] の括弧でメール・サーバーが括られていることを確認してください。今回の場合、 MX ルックアップは「 relayhost=[testmailserver.com] 」になります。 CLI でこのファイルを修正し、以下のコマンドで postfix を再起動することができます:
systemctl restart postfix
メール・キューのチェック
QRadar が一定時間 E メールを送信できない場合は、キュー内のバックログ・メールが送信を待機している可能性があります。メール・キューの現在のサイズを確認するには、 mailq コマンドを使用します。問題が解決された時に数千の E メールが送信されるのを待機していることがあります。不十分に調整されたルールでは、数千の E メール・レスポンスを生成し、短時間でメール・キューをいっぱいにする可能性があります。
以下のコマンドを使用して、キュー内のすべてのメールを削除できます:
postsuper -d ALL
問題を解決してもまだキューにメールがある場合は、キュー内の全てのメールを強制的に送信するため、 CLI から以下のコマンドを実行します。
postfix flush
誤ったルール・チューニングが過度にメール・レスポンスを生成している場合は、下記リンク内の手順でメール・キューをパージすることもできます:
Related Information
Document Location
Worldwide
[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwsyAAA","label":"Admin Tasks"},{"code":"a8m0z000000cwthAAA","label":"Offenses"},{"code":"a8m0z000000cwtmAAA","label":"Reports"},{"code":"a8m0z000000cwtrAAA","label":"Rules"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Versions"}]
Was this topic helpful?
Document Information
Modified date:
29 September 2021
UID
ibm16490267