QRadar: 接続が形成できているか確認するために SSH 接続でチェックする方法

Troubleshooting

Problem

コンソールと管理対象ホスト間で SSH 接続の作成時にネットワーク問題がある場合は、ネットワーク、NIC、ファイアウォール構成、またはネットワーク内でダウンしているホストといった問題を示すメッセージを表示します。この技術情報では、これら問題の概要を説明します。

Symptom

コンソールから管理対象ホストへの SSH 接続の確立を試行すると、以下の様なエラーが発生して失敗します。

[root@Console-1 ~]# ssh 192.0.2.11 22

ssh: connect to host 192.0.2.11 port 22: No route to host

ssh: connect to host 192.0.2.11 port 22: Connection timed out.

ssh: connect to host 192.0.2.11 port 22: Connection refused

Cause

SSH セッションが確立できなかった潜在的な問題がいくつかあります。

ファイアウォールがホストへのポート 22 をブロックしている
ホストが稼働していない
ホストは稼働しているが NIC に問題がある(例: IP アドレスの構成が誤っている、NIC ダウンなど)
ネットワーク構成の問題が原因でホストへ到達できていない(例: ルーティングなど)
ホストは稼働しているが SSH サービスが稼働していない
ホストおよび SSH も稼働しているが、SSH ネゴシエーションが失敗する

Diagnosing The Problem

以下の例では、リモート・ホストへ SSH または Telnet 試行時に管理者が何を確認すべきかを表記しています。SSH または telnet を使用することは、トンネル接続が予期したとおりに機能しているか検証するのに適しています。

最初に SSH 接続が成功する
この例では、SSH 接続が最初の試行でどのように成功するかを確認できます。最初の接続で RSA 鍵を受け入れるようにプロンプトが出力されていることが確認できます。

[root@Console-1]# ssh 192.0.2.11 The authenticity of host '192.0.2.11 (192.0.2.11)' can't be established. RSA key fingerprint is bd:36:16:a8:00:2a:c9:56:6d:e2:26:eb:8d:66:3f:d5. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '192.0.2.11' (RSA) to the list of known hosts. This server was upgraded to QRadar 7.2.6.20151107134559 on Thu Apr 14 21:42:58 EDT 2016.
ネットワークがブロックされていない場合の SSH のバナー

[root@Console-1 ~]# telnet 192.0.2.11 22 Trying 192.0.2.11... Connected to 192.0.2.11. Escape character is '^]'.SSH-2.0-OpenSSH_5.3

それ以外の結果は、SSH 接続の障害を指し示しています。

Resolving The Problem

SSH 接続の作成を試行する際の以下のエラー・メッセージは、ネットワーク問題、NIC 構成の問題、ファイアウォール構成の問題、またはネットワーク内でダウンしているホストの例があります。問題の解決を支援するため、各症状の下に説明を記載しています。

SSHが応答しない、またはネットワーク機器（ファイアウォール）によりパケットがドロップされる:「 Connection timed out 」

[root@QRadar-3100 ~]# telnet Qradar726-1201 22 Trying 192.168.0.77... telnet: connect to address 192.168.0.77: Connection timed out.

解説
考えられる症状として、NIC インターフェース、スイッチ・ポート、または LAN ケーブルに問題があります。正常に機能していることを確認するため、管理者に問い合わせてください。

SSH 接続が拒否される、またはファイアウォールによって明示的にブロックされている:「 Connection refused 」

[root@QRadar-3100 ~]# telnet Qradar726-1201 22 Trying 192.168.0.77... telnet: connect to address 192.168.0.77: Connection refused.

解説
考えられる症状として、ファイアウォールがポート 22 をブロックしています。ポート 22 がオープンしていることを確認するため、ファイアウォールの管理者に問い合わせてください。

ホストのダウン、ネットワークの問題などに起因する SSH の問題:「 No route to host 」または「 Host not available 」

[root@QRadar-3100 ~]# telnet Qradar726-1201 22| Trying 192.168.0.77... telnet: connect to address 192.168.0.77: No route to host

解説
考えられる症状として、ホストがダウンしています。ホストがオンラインであることをデータ・センター管理者に確認してください。

SSH のトラブルシューティングについては、リンクの技術文書をご参照ください。QRadar: 接続の問題をトラブルシューティングするために SSH でデバックモードを有効にする

Related Information

QRadar: Checking SSH connectivity to ensure a connection can be formed

Document Location

Worldwide

[{"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Component":"Deploy","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Versions","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}}]

Tips