IBM Support

QRadar: クロスオーバー・インターフェースの構成方法

How To


Summary

クロスオーバー(バックツーバックとも呼ばれる)は、高可用性( HA )デプロイメントの待機時間測定と帯域幅を拡張するための 2 つの QRadar アプライアンス間の接続です。クロスオーバーの主な目的は、管理インターフェースから一部のトラフィックをオフロードすることです。

Objective

異なる実装環境でクロスオーバーを構成し、それぞれの長所と短所を把握してください。
  1. 単一のインターフェース・クロスオーバー
  2. 結合されたインターフェース・クロスオーバー
  3. 「一時的」なインターフェース・クロスオーバー

Environment

 HA またはマイグレーション・シナリオの QRadar デプロイメント

Steps

管理者はこの技術情報のステップを実行する前に、これらのデプロイメントについて理解するため、QRadar HA ドキュメントを参照することを推奨します。

  1. HA の概要
  2. QRadar 高可用性のガイド

また、管理者はシステム上にクロスオーバー構成が存在するかどうかを検証する必要があります。確認を行うには、以下のコマンドを使用します。

/opt/qradar/ha/bin/qradar_nettune.pl crossover status

注: クロスオーバー構成は仮想マシン上でも構成することが可能であり、この技術情報で説明されている物理アプライアンスと同じ前提条件を満たしている必要があります。

クロスオーバー構成の前提条件

クロスオーバーを構成するには、以下の前提条件を満たしている必要があります。

  1. 対象とするインターフェースは、両方の HA ピアで同一でなければならない。
  2. インターフェースの速度は、両方の HA ピアで同一でなければならない。
  3. 構成される MTU は、両方の HA ピアで同一でなければならない。

インターフェースと MTU をリストアップするには、ip link コマンドを実行します:

# ip link

-- Output snipped ---

3: eno2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc prio state UP mode DEFAULT group default qlen 1000
    link/ether 8c:16:45:b3:ee:ca brd ff:ff:ff:ff:ff:ff

4: eno3: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc prio state DOWN mode DEFAULT group default qlen 1000
    link/ether 8c:16:45:b3:ee:cb brd ff:ff:ff:ff:ff:ff

-- Output snipped ---

6: ens4f0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc prio state DOWN mode DEFAULT group default qlen 1000
    link/ether f8:f2:1e:12:07:bc brd ff:ff:ff:ff:ff:ff

-- Output snipped ---


 

クロスオーバーの物理接続

注: 以下のステップは、例として eno2、eno3 (両方とも 1 ギガビット・イーサネット)、および ens4f0 ( 10 ギガビット・イーサネット)を使用しています。管理者は各環境に応じて、コマンドを変える必要があります。

  1. QRadar アプライアンス間にケーブルを接続します。
    注: 管理者は、スロットと互換性のある SFP のリストを識別するため、購入したアプライアンス・モデルの資料を確認する必要があります。サード・パーティー製のハードウェア( IBM によって提供されていない)は、同じ前提条件を満たす必要があります。
     
    QRadar M6 アプライアンスの場合は、QRadar M6 アプライアンスの概要をご参照ください。

    QRadar M5 アプライアンスの場合は、QRadar M5 アプライアンスの概要をご参照ください。
    QRadar M4 アプライアンスの場合は、QRadar M4 アプライアンスの概要をご参照ください。

    1. カッパー・インターフェース( 1 ギガビット・イーサネット) UTP または STP パッチ・コード( Cat6 あるいはそれ以降)を使用している場合。
    2. ファイバー・インターフェースを使用している場合。
      1. アプライアンスに同梱されているトランシーバーを差し込みます。これらの SFP は、QRadar アプライアンスと互換性のある SR (ショート・レンジ) 10Gbps イーサネットまたはその他のペアになります。
      2. 両方の SFP と互換性のあるファイバー・パッチ・コードを接続します。例えば、シングル・モードを使用する場合は、シングル・モード・ファイバーおよびシングル・モード SFP を使用します。
  2. 両方のインターフェースが両方のサーバーで有効になっていることを確認します。
    1. 両方のサーバーのインターフェースを有効にします。 
      ip link set ens4f0 up
    2. ethtool コマンドを実行します。 
      # ethtool ens4f0 | grep -E 'Settings for|Speed|Port|Link detected:'

Settings for ens4f0:
        Speed: 10000Mb/s
        Port: Fiber
        Link detected: yes
  3. 任意: インターフェースがリンクを報告しない場合
    1. カッパー・インターフェース使用時にケーブルのプラグが正しく接続されていない、またはコネクターに障害が発生している可能性があります。管理者は、保証された Cat 6 またはそれ以降がインターフェースに接続されていることを確認する必要があります。
    2. ファイバー・インターフェースを使用している場合。
      1. SFP モジュールが ethtool コマンドで値を報告していることを確認します。 
        # ethtool -m ens4f0
      2. サポートされていない SFP トランシーバーが接続されていないことを確認します。 
        # dmesg | grep -iE 'sfp|ixgbe|unsupported|<interface name>'

        サポートされない SFP のメッセージ例: 
        <hostname> kernel: ixgbe 0000:0f:00.0: failed to load because an unsupported SFP+ module type was detected.

 QRadar HA ウィザードへのアクセス

クロスオーバー・インターフェースは、QRadar HA ウィザードを使用して構成します。このメニューにアクセスするには、管理者は以下の手順に従ってください。
  1. ナビゲーション・メニュー( Navigation menu icon )で「管理」をクリックします。
  2. システムおよびライセンス管理」をクリックします。
  3. HAを構成するホストを選択します。
    1. 初めて HA を追加する場合は、「アクション」メニューから「 HA ホストの追加」を選択し、「 OK 」をクリックします。
    2. 既存の HA クラスターでクロスオーバーを有効にする場合は、「高可用性」メニューから「 HA ホストの編集」を選択し、「 OK 」をクリックします。
  4. 入門テキストを読みます。
  5. 次へ」をクリックします。

結合されたインターフェース・クロスオーバーの構成

注: ディスク同期速度を高速化するため、単一の 1GE インターフェースまたは 2 つに結合された 1GE インターフェースより、単一の 10GE インターフェースが優先されます。

  1. クロスオーバー・ケーブルの構成」のチェック・ボックスを選択します。
  2. 使用するインターフェースを選択します。この例では、ens4f0 ( 10GE ) を使用します。
  3. 任意: クロスオーバー用の異なるサブネットまたは MTU の値が管理者に必要となる場合があります。
  4. 任意: ディスク同期速度を増やす場合、管理者は参考として、以下の値を使用できます。
    1. 1GE インターフェースの場合、100 MB/s を使用する。
    2. 10GE インターフェースの場合、300 - 500 MB/s を使用する。
  5. 次へ」をクリックし、「終了」をクリックします。
    Figure1

結果:

クロスオーバー構成が有効になり、Distributed Replication Block Device の同期とピア間のハートビートがクロスオーバー・インターフェース上で行われます。管理者は、次のコマンドを使用して接続を確認できます:

# /opt/qradar/ha/bin/qradar_nettune.pl crossover status

Crossover status: configured/running
        Role: primary
        Admin status: enabled
        Operative status: running
        Interface: ens4f0
        Interface status: UP
        Interface MTU: 1500
        Firewall status: enabled
        Routing status: enabled

データ転送用の「一時的」なインターフェース・クロスオーバーの構成

この実装は、ハードウェア・リフレッシュを実行する必要がある、または単に 2 つの QRadar アプライアンス間でデータのマイグレーションを行う場合に使用できます。この構成は一時的なものであり、再起動後は保持されません。

詳細は、QRadar SIEM ハードウェア・マイグレーション・シナリオをご参照ください。

  1. いずれかのアプライアンスで構成されていないプライベート IP を構成します。
    注: 以下の IP アドレスは、例のシナリオを説明するためのものです。これらはすべて RFC 1918 によって「プライベート IP アドレス」とみなされます。
    1. 「旧」アプライアンスで実行します: 
      # ip addr add 10.11.12.1/24 dev ens4f0
    2. 「新規」アプライアンスで実行します: 
      # ip addr add 10.11.12.2/24 dev ens4f0
  2. 前述の IP アドレスを使用する接続が、「旧」から「新規」アプライアンスに確立できていることを確認してください。
    1. 「旧」アプライアンスで実行します: 
      # ssh 10.11.12.2
  3. 両アプライアンス間でデータを転送するため、syncAriel.sh スクリプトを使用します。syncAriel.sh スクリプトの詳細については、「 QRadar: Replacing a Console appliance in a deployment using a new IP address or hostname 」をご参照ください。


結果:

クロスオーバー構成が使用可能になり、専用インターフェースでデータ転送が可能となります。

Document Location

Worldwide

[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwtXAAQ","label":"High Availability"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Versions"}]

Document Information

Modified date:
29 March 2022

UID

ibm16495819

Page Feedback