Question & Answer
Question
QRadar アプライアンスの NTP 設定をどのようにして構成できますか ?
Cause
NTP は Network Time Protocol (ネットワーク・タイム・プロトコル)の略で、コンピューターの時刻を一定の時間基準に同期させるために使用されるインターネット・プロトコルです。NTP が構成された QRadar コンソールは、時間基準のソースから最新の時刻を取得し、デプロイメント内のすべての管理対象ホストへ 1 時間ごとに更新をプッシュします。
Answer
始める前に: 管理者は、定期メンテナンス時にこれらの手順を完了させてください。QRadar のタイム・サーバー設定を更新すると、サービスが再起動します。これにより、ユーザーはログオフになり、サービスが再起動するまでイベントとフローの収集が中断されます。
QRadar 7.3.0 およびそれ以降の場合
- QRadar ユーザー・インターフェースにログインします。
- 「管理」タブ > 「システムおよびライセンス管理」の順にクリックします。
- 表示で「システム」 を選択し、「アプライアンスのタイプ」のコンソール を右クリックし、「システムの表示と管理」をクリックします。
- 「システム時刻」タブをクリックします。
- 「 NTP サーバーを指定」 を選択し、「さらに追加」をクリックします。
- 「サーバー1のアドレス」にNTP サーバーを入力します。
- 「保存」をクリックします。
QRadar 7.2.6 から 7.2.8 の場合
重要: 管理者は、定期メンテナンス時にこれらの手順を完了させてください。QRadar のタイム・サーバー設定を更新すると、サービスが再起動します。これにより、ユーザーはログオフになり、サービスが再起動するまでイベントとフローの収集が中断されます。- SSH を使用し、root ユーザーとして QRadar コンソールにログインします。
- ntp.conf ファイルを編集するには、次のコマンドを入力します: vi /etc/ntp.conf
- ntp.conf ファイルのサーバー・セクションで、既存のサーバー・エントリーを残すか、独自の内部 Network Time Protocol ( NTP )サーバーに置き換えます。
ntp.conf ファイル内のサーバー・エントリーは server で始まります。NTP project からパブリック NTP サーバーを使用することができます。
パブリック NTP サーバーの一覧が表示されます。server 0.rhel.pool.ntp.org iburst
server 1.rhel.pool.ntp.org iburst
server 2.rhel.pool.ntp.org iburst
server 3.rhel.pool.ntp.org iburst
パブリック NTP サーバーを使用する場合は、ファイアウォールで NTP リクエストの送信を許可していることを確認してください。 - 変更内容を保存し、ファイルを閉じます。
- レベル 3 を実行するために ntpd サービスを有効にします。
chkconfig --level 3 ntpd on
- ntpd サービスが再起動時に実行できるようになっていることを確認します。
chkconfig --list ntpd
出力に「 3:on 」の表示があることを確認します。ntpd 0:off 1:off 2:off 3:on 4:off 5:off 6:off
- システム時刻の変更時にデータ収集エラーが発生しないようにするため、QRadar サービスを停止します。
service hostcontext stop
service tomcat stop
service hostservices stop - NTP サーバーと時刻を同期します。
ntpdate
ntp.server.ipaddress
- ntpd サービスを開始します。
service ntpd start
- QRadar サービスの再起動します。
service hostservices start
service tomcat start
service hostcontext start - QRadar コンソールですべての管理対象ホストの時刻を同期します。
/opt/qradar/support/all_servers.sh /opt/qradar/bin/time_sync.sh
- 「管理」タブで「拡張」 > 「すべての構成のデプロイ」の順にクリックし、すべての QRadar 管理対象ホストのサービスを再起動します。
結果: QRadar コンソールと管理対象ホストの間で現在の時刻が同期されます。
Related Information
[{"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Component":"Admin Console","Platform":[{"code":"PF016","label":"Linux"}],"Version":"7.2;7.3","Edition":"All Editions","Line of Business":{"code":"LOB24","label":"Security Software"}}]
Was this topic helpful?
Document Information
Modified date:
16 February 2022
UID
ibm16528970