IBM Support

QRadar: 「 HA ホストの追加」メニューのロードに失敗し「アプリケーション・エラー」を報告する事象について

Troubleshooting


Problem

管理者は「 HA ホストの追加」メニューのロードに失敗するため、高可用性( HA )クラスターを作成できません。

Symptom

 HA ウィザードのユーザー・インターフェースに、以下のエラーが表示されます。
image 11785

アプリケーション・エラー発生後に、関連する HA ウィザードの警告メッセージ「 Error occurred on connection creation 」が var/log/qradar.log 内に表示されます。
Sep 23 22:01:55 <Console Hostname> tomcat[29204]: 23-Sep-2021 22:01:55.041 
WARNING [admin@<Console IP> (8268) /console/do/hawizard] 
com.sun.messaging.jmq.jmsclient.ExceptionHandler.throwConnectionException [C4003]: 
Error occurred on connection creation [<Managed Host IP>:7677]. - 
cause: java.net.ConnectException: Connection timed out (Connection timed out)

Cause

 QRadar コンソールは、メニューをロードするための情報を取得するのに管理対象ホストの IMQ サービス・ポートにアクセスできていません。暗号化が有効とされていないデプロイメントでは、ネットワーク・ファイアウォールが該当の接続をブロックする可能性があります。

Diagnosing The Problem

  1. コンソールと管理対象ホストが暗号化されていないことを確認します。コンソールは常に暗号化されていない必要があります。 
    /opt/qradar/bin/myver -tunnel
  2. コンソールからポート接続をテストします。タイムアウトまたは接続が拒否されたことをが出力される場合があります。 
    nc -zv <Managed Host IP> 7677
  3. 管理対象ホスト:
    1. IMQ サービスがアクティブであることを確認します。 
      systemctl is-active imq
    2. IMQ サービスがポート 7677 で listen していることを確認します。 
      ss -pln | grep 7677
tcp    LISTEN     0      100    [::]:7677       [::]:*      users:(("java",pid=17844,fd=143))
    3. ポート 7677 に接続できるように、IP Tables がコンソールを許可していることを確認します。 
      iptables  -L -v -n | grep 7677

Resolving The Problem

管理者は問題を解決するため、以下の修正アクションを実行できます。
  1. コンソールで暗号化が有効になっている場合は、無効にします。
    1. 管理ユーザーとして QRadar コンソールにログインします。
    2. ナビゲーション・メニュー( Navigation menu icon )で「管理」をクリックします。
    3. システム構成」セクションで「システムおよびライセンス管理」をクリックします。
    4. 表示」リストで「システム」を選択します。
    5. コンソールを選択し、「デプロイメント・アクション」をクリック後に「ホストの編集」をクリックします。
    6. ホスト接続の暗号化」のチェック・ボックスを外し、「保存」をクリックします。
    7. 元の画面に戻り、「変更のデプロイ」をクリックします。
       
      image 12051
  2. 接続を担当するネットワークまたはファイアウォール・チームへ連絡し、ポートをオープンするように要求します。必要なポートの一覧については、「 QRadar ポートの使用方法」をご参照ください。

    回避策として、管理者は接続が SSH トンネルを経由するようにして、管理対象ホストを暗号化できます。
     
    1. 管理ユーザーとして QRadar コンソールにログインします。
    2. ナビゲーション・メニュー( Navigation menu icon )で「管理」をクリックします。
    3. システム構成」セクションで「システムおよびライセンス管理」をクリックします。
    4. 表示」リストで「システム」を選択します。
    5. 管理対象ホストを選択し、「デプロイメント・アクション」をクリック後に「ホストの編集」をクリックします。
    6. ホスト接続の暗号化」のチェック・ボックスにチェックを入れ、「保存」をクリックします。
    7. 元の画面に戻り、「変更のデプロイ」をクリックします。
       
      image 12052
  3. ユーザー・インターフェースで「 HA ホストの追加」オプションを使用して HA クラスターを作成します。
    1. 管理ユーザーとして QRadar コンソールにログインします。
    2. ナビゲーション・メニュー( Navigation menu icon )で「管理」をクリックします。
    3. システム構成」セクションで、「システムおよびライセンス管理」をクリックします。
    4. 表示」リストで「システム」を選択します。
    5. 管理対象ホストを選択し、「アクション」をクリック後に「 HA ホストの追加」をクリックします。
       
結果:
「 HA ホストの追加」メニューがロードされ、管理対象ホスト上に HA クラスターが作成されます。HA ホストを追加する時にユーザー・インターフェースでアプリケーション・エラーが引き続き発生する場合は、QRadar サポートにお問い合わせください。

Document Location

Worldwide

[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwtXAAQ","label":"High Availability"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Versions"}]

Document Information

Modified date:
17 February 2022

UID

ibm16513969

Page Feedback