IBM Support

QRadar: QRadar アプライアンスの NTP 設定の構成について

Question & Answer


Question

 QRadar アプライアンスの NTP 設定をどのようにして構成できますか ?

Cause

 NTP は Network Time Protocol (ネットワーク・タイム・プロトコル)の略で、コンピューターの時刻を一定の時間基準に同期させるために使用されるインターネット・プロトコルです。NTP が構成された QRadar コンソールは、時間基準のソースから最新の時刻を取得し、デプロイメント内のすべての管理対象ホストへ 1 時間ごとに更新をプッシュします。

Answer

始める前に: 管理者は、定期メンテナンス時にこれらの手順を完了させてください。QRadar のタイム・サーバー設定を更新すると、サービスが再起動します。これにより、ユーザーはログオフになり、サービスが再起動するまでイベントとフローの収集が中断されます。

 QRadar 7.3.0 およびそれ以降の場合

  1. QRadar ユーザー・インターフェースにログインします。
  2. 管理」タブ > 「システムおよびライセンス管理」の順にクリックします。
  3. 表示で「システム」 を選択し、「アプライアンスのタイプ」のコンソール を右クリックし、「システムの表示と管理」をクリックします。
    image-20211222132633-2
  4. システム時刻」タブをクリックします。
  5. NTP サーバーを指定」 を選択し、「さらに追加」をクリックします。
  6. 「サーバー1のアドレス」にNTP サーバーを入力します。
  7. 保存」をクリックします。
    image-20211222133502-4
 

 QRadar 7.2.6 から 7.2.8 の場合

重要: 管理者は、定期メンテナンス時にこれらの手順を完了させてください。QRadar のタイム・サーバー設定を更新すると、サービスが再起動します。これにより、ユーザーはログオフになり、サービスが再起動するまでイベントとフローの収集が中断されます。
  1. SSH を使用し、root ユーザーとして QRadar コンソールにログインします。
  2. ntp.conf ファイルを編集するには、次のコマンドを入力します: vi /etc/ntp.conf
  3. ntp.conf ファイルのサーバー・セクションで、既存のサーバー・エントリーを残すか、独自の内部 Network Time Protocol ( NTP )サーバーに置き換えます。
    ntp.conf ファイル内のサーバー・エントリーは server で始まります。NTP project からパブリック NTP サーバーを使用することができます。
    パブリック NTP サーバーの一覧が表示されます。
    server 0.rhel.pool.ntp.org iburst
    server 1.rhel.pool.ntp.org iburst
    server 2.rhel.pool.ntp.org iburst
    server 3.rhel.pool.ntp.org iburst
    パブリック NTP サーバーを使用する場合は、ファイアウォールで NTP リクエストの送信を許可していることを確認してください。
  4. 変更内容を保存し、ファイルを閉じます。
  5. レベル 3 を実行するために ntpd サービスを有効にします。
    chkconfig --level 3 ntpd on
  6. ntpd サービスが再起動時に実行できるようになっていることを確認します。
    chkconfig --list ntpd
    出力に「 3:on 」の表示があることを確認します。
    ntpd 0:off 1:off 2:off 3:on 4:off 5:off 6:off
  7. システム時刻の変更時にデータ収集エラーが発生しないようにするため、QRadar サービスを停止します。
    service hostcontext stop
    service tomcat stop
    service hostservices stop
  8. NTP サーバーと時刻を同期します。
    ntpdate ntp.server.ipaddress
  9. ntpd サービスを開始します。
    service ntpd start
  10. QRadar サービスの再起動します。
    service hostservices start
    service tomcat start
    service hostcontext start
  11. QRadar コンソールですべての管理対象ホストの時刻を同期します。
    /opt/qradar/support/all_servers.sh /opt/qradar/bin/time_sync.sh
  12. 管理」タブで「拡張」 > 「すべての構成のデプロイ」の順にクリックし、すべての QRadar 管理対象ホストのサービスを再起動します。
    image-20211222133824-1

結果: QRadar コンソールと管理対象ホストの間で現在の時刻が同期されます。



[{"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Component":"Admin Console","Platform":[{"code":"PF016","label":"Linux"}],"Version":"7.2;7.3","Edition":"All Editions","Line of Business":{"code":"LOB24","label":"Security Software"}}]

Document Information

Modified date:
16 February 2022

UID

ibm16528970

Page Feedback