IBM Support

QRadar: コマンド・ラインを使用するインターフェースおよび接続のネットワーク・トラブルシューティング

Troubleshooting


Problem

検索の問題、管理対象ホストの接続の問題、または接続が切断されたシステム通知がある場合、ネットワークの問題を示している可能性があります。この技術情報では、インターフェース接続および構成を検査するための基本的なネットワーク・トラブルシューティングの手順をご案内します。

Resolving The Problem

システム上のローカルまたはネットワークの問題かどうかを判別するため、ネットワーク問題のトラブルシューティングに役立つコマンド・ライン・ツールがあります。ip コマンドは、ネットワーク・インターフェースに関する情報を表示します。ethtool コマンドは、LAN カードの構成およびエラーを調べることができます。Netstat は、ポート接続を確認できます。Traceroute は、アプライアンスと宛先間の待ち時間の問題を表示します。ローカル・ネットワーク上の長い待ち時間は問題のインジケータになります。arping コマンドは、同じネットワーク上で使用する IP アドレスが重複しているかどうかを見つけることができます。
始める前に:
  • これらのテストのいずれかがネットワークの問題を示している場合は、組織内のネットワーク管理者の支援が必要になる場合があります。
  • SSH 接続を使用して、TCP ポート 22 でアプライアンスに接続できることを確認します。
  • コンソールから、ダッシュボード通知にリストされている管理対象ホストに SSH 接続します。
  • コンソールまたは管理対象ホストのいずれにも SSH 接続できない場合は、IMM または iDRAC などの管理インターフェースを使用し、コマンド・ラインにアクセスします。
 

ネットワーク・インターフェースがアクティブであることを確認する

 QRadar アプライアンスには、4 つ以上の LAN 接続があります。QRadar インターフェースは、管理インターフェースおよびモニター・インターフェースで使用される en (イーサネット)を指定して開始します。今回の例で QRadar が docker などの内部機能用のインターフェースを使用しているため、en インターフェースを区分けするための「 grep 」コマンドを追加しています。

テスト 1: ネットワーク・インターフェース構成を検証する。

  1. SSH を使用して、root ユーザーとして QRadar アプライアンスにログインします。
  2. ネットワーク・インターフェースの状態を確認するには、次のように入力します: ip address show  | grep en
    例): 
    [root@qradar74 ~]# ip address show | grep en
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
2: ens3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    inet 192.168.1.68/24 brd 192.168.1.255 scope global ens3
3: ens4: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    inet6 2001:db8:4::1/80 scope global tentative
    inet6 fe80::1/64 scope link tentative
    注:「 en 」はイーサネットを参照し、「 wl 」は無線 LAN アダプタ、「 ww 」は無線 WAN を参照します。
  3. 出力結果を確認し、いずれかの設定が正しくないかどうかを判別します。
  • IP アドレスがアプライアンスに予期される値で構成されていることを確認する。
  • 伝送速度設定を確認する。例えば、ギガビット・インターフェースは「 qlen 1000 」として構成されていることが想定されます。
  • インターフェースが「 UP 」であることを確認する。これは、インターフェースが「アクティブ」であることを意味します。
  • MTU は「 1500 」に構成されます。

テスト 2: インターフェースの伝送統計を確認する。

  1. SSH を使用して、root ユーザーとして QRadar アプライアンスにログインします。
  2. インターフェースの統計を表示するには、次のように入力します: ip -s a s <interface>
    例): 
    [root@qradar74 ~]# ip -s a s ens3
2: ens3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc prio state UP group default qlen 1000
    link/ether 52:54:00:1c:1c:34 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.68/24 brd 192.168.1.255 scope global ens3
       valid_lft forever preferred_lft forever
    inet6 fe80::5054:ff:fe1c:1c34/64 scope link
       valid_lft forever preferred_lft forever
    RX: bytes  packets  errors  dropped overrun mcast
    80135      1120     0       0       0       0
    TX: bytes  packets  errors  dropped carrier collsns
    62641      537      0       0       0       0
  3. エラー、ドロップされたパケット、またはインターフェース・コリジョンについての出力を確認します。

LAN インターフェースのトラブルシューティングのために ethtool を使用する

 ethtool コマンドは、イーサネット・インターフェースの状況を取得します。確認すべき設定は、Speed、Duplex、Auto-negotiate、Link detectedの設定です。Speed、Duplex、Auto-negotiate の 3 つが正しく設定されていない場合、アプライアンスのパフォーマンスに悪影響を及ぼす可能性があります。Link detected は、LAN インターフェースがスイッチやルーターなどの別のデバイスに接続しているかどうかを通知します。Link detected がダウンしている場合は、LAN ケーブルまたは LAN インターフェースが不良である可能性があります。

手順

  1. SSH を使用して、root ユーザーとして QRadar アプライアンスにログインします。
  2. 次のように入力します: ethtool <interface>
    例):
    image 10411

 Duplex が half に設定されている場合、インターフェースはパケットを送信または受信しますが、同時には送信しません。Full Duplex は、パケットの送信と受信を同時に行うため、好ましい設定です。Auto-negotiate は、Duplex およびインターフェースの速度の最も良い状態を定めます。スイッチ、ルーター、またはネットワークに問題がある場合は、これらの設定を手動で変更する必要があります。

  1. SSH セッションを使用して、テストする必要のあるアプライアンスにログインします。
  2. ethtool コマンドを入力します: ethtool -S <interface>
    image 10412
注: より簡潔な統計出力にするための他のオプション・コマンドは、「ip -s -s link show dev <interface name>」で出力できます。
3. 任意: その他の有用なコマンドは「 ethtool -p <interface> 」になります。
このコマンドは、アプライアンス上のリンク・ライトを明滅して容易に識別するのが目的です。フラッシュ・モードを終了するには、「 CTRL-C 」を押下します。

ポートのトラブルシューティングのために netstat を使用する

 netstat コマンドは、ポート情報を判別するのに役立ちます。QRadar アプライアンス上では、ポート「 32006 」に接続できないという警告を表示する場合があります。netstatコマンドを使用して、ポートが開いているか、ファイアウォール・ルールによってブロックされているか、listen しているかどうかをテストしてください。

  1. SSH セッションを使用して、テストする必要のあるアプライアンスにログインします。
  2. 次のコマンドを入力します: netstat -nap | grep :<port>
    例):
    image 10413
  3. ポートが「 LISTEN 」、「 ESTABLISHED 」、または「 TIME_WAIT 」を表示することを確認します。

結果:
この例では、ポートはブロックされておらず、listen しています。

 netstat コマンドについての詳細は、「 QRadar が使用中のポートの検索」をご参照ください。

ネットワーク待ち時間のトラブルシューティングのために traceroute および tracepath を使用する

送信されるパケットは宛先に到達するためにさまざまなネットワークとルーターを経由しなければならないため、traceroute コマンドはネットワーク問題のトラブルシューティングに役立ちます。トラフィックの多いネットワークに問題がある場合、負荷が高いトラフィックのパスまたはネットワーク接続が失敗するパスを示すこともできます。ローカル・ネットワークでは、traceroute はルーターが誤動作しているかどうかまたはホスト間の接続に問題があるかどうかについて見抜くことができます。

 traceroute を使用するには:

  1. SSH セッションを使用して、テストする必要のあるアプライアンスにログインします。
  2. 次のコマンドを入力します: traceroute <destination IP address>
    待ち時間が短い場合の正常な接続の例:
    image 10417

    待ち時間が長い場合の接続が失敗する例:
    image 10418
    注: ICMP を使用する traceroute は度々ブロックされてしまうため、代わりに tcp socket link TCPポート22を使用する tracepath を試してみてください。
    例):
    image 11483

使用中の重複する IP アドレスを見つけるために arping コマンドを使用する

 -D オプションを指定した arping コマンドにより、「 Duplicate Address Detection 」が有効になります。ネットワークに接続できないローカル・ホストから実行すると、別のホストが同じ IP アドレスを使用しているかどうかを検出することができます。

テスト 1: 重複する IP アドレスが存在するかどうかを確認する。

# arping -D -w 5 -I ens3 192.168.0.80
ARPING 192.168.0.80 from 0.0.0.0 ens3
Sent 6 probes (6 broadcast(s))
Received 0 response(s)
  1. SSH セッションを使用して、テストする必要のあるアプライアンスにログインします。
  2. 次のコマンドを入力します: arping -D -w 5 -I <interface> <IP address>

    使用中の重複する IP アドレスを持つホストの例: 
    # arping -D -w 5 -I ens3 192.168.0.80 ARPING 192.168.0.80 from 0.0.0.0 ens3 Unicast reply from
 192.168.0.80 [52:54:00:1B:CA:6B]  8.555ms Sent 1 probes (1 broadcast(s)) Received 1 response

    使用中の重複する IP アドレスがない例: 
    # arping -D -w 5 -I ens3 192.168.0.80
ARPING 192.168.0.80 from 0.0.0.0 ens3
Sent 6 probes (6 broadcast(s))
Received 0 response(s)

MAC アドレスの検証

 /etc/sysconfig/network-scripts/ifcfg-* 内の HWADDR は、「 ip link 」コマンドの MAC アドレスと一致している必要があります。
# ip link
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc prio state UNKNOWN mode DEFAULT group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: ens3: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc prio state UP mode DEFAULT group default qlen 1000
    link/ether 52:54:00:1c:1c:34 brd ff:ff:ff:ff:ff:ff
3: ens4: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc prio state UP mode DEFAULT group default qlen 1000
    link/ether 52:54:00:68:58:21 brd ff:ff:ff:ff:ff:ff
4: docker0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN mode DEFAULT group default
    link/ether 02:42:60:05:72:f1 brd ff:ff:ff:ff:ff:ff
5: dockerApps: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP mode DEFAULT group default
    link/ether 02:42:30:08:42:b6 brd ff:ff:ff:ff:ff:ff
29: veth605dcb0@if28: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master dockerApps state UP mode DEFAULT group default
    link/ether fa:d5:a3:cf:a3:ca brd ff:ff:ff:ff:ff:ff link-netnsid 6
31: vethda4e4bb@if30: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master dockerApps state UP mode DEFAULT group default
    link/ether d6:08:f3:ae:4e:d3 brd ff:ff:ff:ff:ff:ff link-netnsid 7

[{"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM QRadar SIEM"},"Component":"Network","Platform":[{"code":"PF016","label":"Linux"}],"Version":"Version Independent","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}}]

Document Information

Modified date:
29 March 2022

UID

ibm16525224

Page Feedback