IBM Support

QRadar: ユーザー・インターフェースでアプリケーション・エラーが発生する可能性のある欠落しているコンテンツを識別する方法 (APAR IJ23859)

How To


Summary

この技術情報は、欠落しているコンテンツに関連してアプリケーション・エラーが発生したユーザーに、 APAR IJ23859 の詳細情報を提供することが目的です。 APAR IJ23895 の最も一般的な原因は、無効なユーザー・アカウントが所有するセキュリティー・コンテンツが原因となります。ユーザー・インターフェースが結果を表示しようとしても、無効なユーザーが所有するコンテンツは欠落しているコンテンツに関連しているため、 Tomcat エラーを生成します。この技術情報の手順は、アプリケーション・エラー特定および解決する方法の概要を示しています。

Environment

この問題が発生するユーザーは、ユーザー・インターフェースの「ログ・アクティビティー」タブに移動すると該当のエラーを確認できます。
 "An error has occurred. Return and attempt the action again. If the problem persists, please contact customer support for assistance."
「エラーが発生しました。アクションに戻り、再試行してください。問題が解決しない場合は、カスタマーサポートにお問い合わせください。」
image 11730
 QRadar のログを確認すると、データまたはプロパティーが存在しないことを特定するエラーが表示されます。
[tomcat.tomcat] [username@IPAddress (7192) 
/console/do/ariel/arielDetails] com.q1labs.ariel.ql.parser.AQLParserException: 
Catalog "events" does not exist.
concat('http://',"URL
^
注: このエラー・メッセージは、 /var/log/qradar.log または /var/log/qradar.error のいずれかに表示します。

Steps

この問題はユーザーが無効とされていることが原因ではなく、そのユーザーの依存関係が再割り当てされていなかったことが原因です。エラー・メッセージを使用してプロパティーを作成したユーザーを識別してから、ユーザー・インターフェースで依存関係を再割り当てします。

始める前に:
  • このセクションの手順は、 QRadar SIEM のオンプレミス・アプライアンスに適用されます。 QRadar on Cloud の管理者は、ログを表示するためのコンソールへのルート・アクセス権限がありません。
  • QRadar on Cloud の管理者およびコマンド・ラインより無効なコンテンツを確認するための支援が必要な場合は、 QRadar サポートへお問い合わせください。
  • QRadar on Cloud の管理者はユーザーを削除できません。 QRadar on Cloud コンソールのユーザーまたは再割り当てのコンテンツを削除する必要がある場合は、 QRadar サポートへお問い合わせください。
手順:
  1. SSH を使用して、  root ユーザーとして QRadar コンソールにログインします。
  2. エラーを生成しているプロパティーを識別するのにログを確認するため、次のように入力します。 
    grep "Exception creating AQL" /var/log/qradar.error
  3. 出力には、ユーザー、プロパティーおよび IP アドレスが割り出されます。以下は例となります。 
    [tomcat.tomcat] [username@IPAddress (7192) /console/do/ariel/arielDetails] 
com.q1labs.core.shared.ariel.AqlCustomKeyCreator: [ERROR] [NOT:0000003000][IPADDRESS/- -] [-/- -]
Exception creating AQL key creator for property ID 4dd61ea4-b492-4e27-93a7-ad187a69210d
    • username: ユーザー・インターフェース内の「ログ・アクティビティー」タブまたは機能にアクセスできないユーザー
    • IPAddress: ユーザーが QRadar にアクセスしている場所のデバイスの IP アドレス
    • property ID: この ID は今回の問題の原因となっているものであるため、該当の ID を次のステップで使用します。
  4. 該当のプロパティーを所有するユーザーを識別するため、次のように入力します。 
    psql -U qradar -c "select id,username from ariel_property;" | grep <id>
    注: 全てのプロパティー ID を入力する必要はなく、後ろの固有識別番号を入力します。以下は、固有識別番号が「 69210d 」の場合の例です。 
    psql -U qradar -c "select id,username from ariel_property;" | grep 69210d

    結果:
    エラーを生成しているプロパティーの所有者のユーザー名が表示されます。ユーザー・インターフェースで該当のユーザーは無効となっている可能性があり、ユーザー・インターフェース内のエラーを解決するために依存関係を再割り当てする必要があります。 
    4dd61ea4-b492-4e27-93a7-ad187a69210d  | firstname.lastname

Additional Information

無効となっているユーザーの依存関係を再割り当てする方法
 QRadar の管理者は、削除機能を完了することでユーザーを削除せずに依存関係を再割り当てできますが、ユーザーを削除する前に処理をキャンセルすることができます。管理者は、ユーザー・アカウントを無効にした時に所有しているセキュリティー・コンテンツを再割り当てすることが重要です。セキュリティー・コンテンツを再割り当てすることは、無効または削除されたユーザーが所有するプロパティーまたはコンテンツが原因で製品が予期したとおりにデータを表示しないエラーを回避します。

手順:
この手順は、無効なユーザーのコンテンツを再割り当てします。
  1. 管理者として QRadar コンソールにログインします。
  2. 管理」タブで「ユーザー」をクリックします。
  3. エラー・メッセージを生成しているプロパティーの所有者を検索します。
  4. ユーザーを選択し、「削除」ボタンをクリックします。
    image 11738
    依存関係の検索は、ユーザーが所有するすべてのコンテンツに対して行います。
  5. 種類別に既存の依存関係を確認するため「表示」をクリックします。
    image 11737
  6. 無効のユーザーからマイグレーションする必要があるプロパティーを選択し、「所有権の再割り当て」をクリックします。
    image 11736
  7. セキュリティー・コンテンツの新しい所有者を選択し、「再割り当て」をクリックします。
    image 11739
  8. 再割り当てが完了したら「 OK 」をクリックします。
    image 11740
    依存関係リストに戻ります。
  9. ユーザーを無効な状態のままにするには、ユーザー・インターフェースでの削除を終了するため「キャンセル」をクリックしてください。
    image 11741
    重要: ユーザーを無効な状態にしておく必要がある場合は、「ユーザーの削除」を選択しないでください。ユーザー・インターフェースをキャンセルすることで、該当のユーザーはセキュリティー・コンテンツが再割り当てされたうえで無効な状態のままになります。QRadar on Cloud の管理者はユーザーを削除できません。QRadar on Cloud アプライアンスでユーザーを削除する必要がある場合は、QRadar サポートへお問い合わせください。

    結果:
    依存関係の再割り当てが完了した後に「ログ・アクティビティー」タブに戻ります。ユーザー・インターフェースの表示を確認および(あるいは)削除されたプロパティーで検索を実行し、問題なく機能することを確認します。APAR IJ23859 に関するエラーが引き続き発生する場合は、QRadar サポートへお問い合わせください。

Document Location

Worldwide

[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwsyAAA","label":"Admin Tasks"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Versions"}]

Document Information

Modified date:
31 May 2022

UID

ibm16527020

Page Feedback