Troubleshooting
Problem
TCP Syslog のログ・ソースから受信した「読み取りが失敗し、接続はリセットしました( read failed, connection reset )」というエラーを、Windows の転送機能が過剰な数のメッセージを引き起こします。
Symptom
/var/log/qradar.log で以下のようなメッセージがあるか確認してください。
Aug 28 11:00:56 127.0.0.1 [TcpSyslog(0.0.0.0/514) Protocol Provider Thread
: class com.q1labs.semsources.
sources.tcpsyslog.TcpSyslogProvider0] com.q1labs.semsources.sources.tcpsyslog.TcpSyslogProvider:
[INFO][NOT:0000006000][10.10.x.x/- -] [-/- -]TcpSyslog(0.0.0.0/514) read failed,
connection reset from 10.10.x.x
Resolving The Problem
「読み取りが失敗し、接続はリセットしました( read failed, connection reset )」の過剰な数のメッセージは、管理者が Windows™ サーバー上の PowerShell スクリプトを使用して TCP Syslog 転送機能を作成することで発生します。これらメッセージのタイプは、ログ・ソースから各ペイロードを使用して TCP 接続が作成される場合によく見られます。管理者は、ペイロードに各ログ・ソースが 1 つのログ・ソース接続を使用するようにする必要があります。管理者がスクリプト化されたログ・ソースを作成する場合は、Syslog プロトコルに rfc5424 を使用する必要があります。
結果:
この問題を解決するには、すべてのペイロードで新規接続を開かないログ・ソースを使用してください。スクリプト化されたログ・ソースまたはカスタム・ログ・ソースの作成については、フォーラムをご参照ください。
Related Information
Document Location
Worldwide
[{"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000bljgAAA","label":"ATS-SecIntel Backup-\u003EQRadar-\u003ENetworking"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Version(s)","Line of Business":{"code":"LOB24","label":"Security Software"}}]
Was this topic helpful?
Document Information
Modified date:
01 December 2022
UID
ibm16539834