IBM Support

QRadar のトラブルの際にサポートに送付する資料について教えてください(2022/12 更新版)

Question & Answer


Question

IBM Security QRadar のトラブルについて IBM サポート に問い合わせする場合に、事前に収集すると良い基本的な情報について説明します。

Cause


リンク

  1. ソフトウェアの問題発生時に収集すべき情報
  2. イベント解析の問題発生時に収集すべき情報
  3. ハードウェアの問題発生時に収集すべき情報
  4. WinCollect エージェントに関する問題発生時に収集すべき情報
  5. イベント・パイプラインに関する問題発生時に取得すべき情報
 
 
 

Answer


1. ソフトウェアの問題発生時に収集すべき情報

QRadar のソフトウェアの問題を報告する場合は、次の情報をご提供ください。

  • 問題が発生する前に行った作業や変更などについての情報を含んだ、問題の詳細な説明。
  • 問題を示す画面キャプチャーやエラー・メッセージ。
  • 問題を解決するために行った作業内容。
  • QRadar にて get_logs からエクスポートしたデータ。
  • 製品のバージョン及び Build 番号。この情報は、ユーザー・インターフェースから入手できます。 QRadar のバージョンを表示するには、[ダッシュボード] タブから [ヘルプ] > [バージョン情報] より確認できます。
    image 8677
1a. ユーザー・インターフェースからログ・ファイルを収集する方法
  1. Admin タブをクリックします。
  2. System & License Management アイコンをクリックします。
  3. ログを収集する QRadar アプライアンスをユーザー・インターフェースで選択します。
    : 複数のアプライアンスからログを取得するには、Shift + クリックまたは、Ctrl + クリックを使用することができます。 複数のアプライアンスを選択しない場合、デフォルトでは QRadar コンソールのログを収集します。 アプリケーション・ホスト・アプライアンスでアプリケーションの問題をトラブルシューティングする場合は、アプリケーション・ホストとコンソール・アプライアンスの両方を選択してログを収集します。
  4. Actions > Collect Log Files を選択します。
  5. ほとんどの場合、アプリケーションまたは拡張機能の問題が発生していない限り、デフォルトのオプションが使用されます。 アプリのインストールの問題や起動の失敗など、アプリケーションに関する問題のトラブルシューティングを行う場合は、Include Application Extension Logs チェック・ボックスを有効にする必要があります。


    Advanced Options
    • QRadar サポート による指示がない限り、Include Debug Logs チェック・ボックスを有効にする必要はありません。
    • QRadar 拡張またはアプリケーションのインストールに問題がある場合は、 Include Application Extension Logs チェック・ボックスを選択します。
    • 最近アプライアンスをアップグレードしたり、ソフトウェアの更新をインストールしたり、管理対象ホストに問題がある場合は、Include Setup Logs ( Current Version )  チェック・ボックスを有効にします。
    • ほとんどの管理者は、 Collect Logs for this Many Days フィールドを空白のままにしておくことができます。 ただし、複数のホストからログを収集する場合は、既知の時間枠を選択して、ログ・ファイルの収集にかかるサイズと時間を制限します。
    • ログ・ファイルの暗号化で、ユーザー定義のパスワードが要求されるようになりました。 このオプションを選択した場合、ログ・ファイルの暗号化を解除するため、IBM サポートにパスワードをご提供頂く必要があります。
  6. Collect Log Files をクリックします。

    ログ収集プロセスが開始され、ログ収集が完了するとステータス・バーが更新されます。
  7. Download をクリックしてファイルを保存します。
  8. サポート・チケットにログを添付します。

    結果
    IBM サポートは、お客様が希望する連絡方法にてお客様へご連絡します。予備の連絡先をケースに含めることもできます。ユーザー・インターフェースからのファイルのダウンロードで問題が発生した場合は、/var/log ディレクトリーからバックアップを移動するために WinSCP または他のセキュアなコピー・ユーティリティーを使用してファイルをダウンロードすることができます。get_logs.sh ユーティリティーを使用するには、アプライアンスへのルート権限でのアクセスが必要です。

1b. コマンドライン・インターフェース ( get_logs.sh ) から ログ・ファイルを収集する方法

コマンド・ラインからログを収集するには、ルート権限でのアクセスが必要です。 get_logs.sh ユーティリティーは、QRadar のすべてのバージョンで利用可能であり、各アプライアンスごとに個別に実行してログを収集できます。 QRadar コンソールがアプライアンスのログを送信する際に、ユーザー・インターフェースに問題がある場合は、このユーティリティーをバックアップとして使用してください。
手順
  1. SSH を使用して、コンソール ・アプライアンス (または All-in-One) に root ユーザーとしてログインします。
  2. 次のコマンドを入力します。: /opt/qradar/support/get_logs.sh
    このスクリプトでは、ログが作成され、名前と場所を示します。 通常は /store/LOGS/ ディレクトリーです。管理者がアプリケーションまたは拡張機能の問題を抱えている場合は、-a オプションを使用してコンソール・ログと一緒にアプリケーション・ログを収集してください。実行可能なコマンドの一覧については次のコマンドを入力します。
    : /opt/qradar/support/get_logs.sh -h
  3. 外部ネットワークにアクセスできるシステムに tar.bz2 ファイルをコピーして、ログ・ファイルをアップロードします。
  4. DLC アプライアンスの場合、tar -zcvf DLC_logs.tar.gz /var/log/dlc/* のコマンドで、/var/log/dlc/* のファイルを圧縮してください。
  5. 外部ネットワークにアクセスできるシステムに tar.gz ファイルをコピーして、ログ・ファイルをアップロードします。
  6. QRadar サポートでケースをオープンします。(サインインが必要)
  7. 製品情報を記入し、問題を記述してください。
  8. ログ・ファイルを添付し、どのイベントが正しく解析されていないかの説明をチケットに記載してください。

    結果
    IBM サポートは、お客様が希望する連絡方法にてお客様へご連絡します。予備の連絡先をケースに含めることもできます。

2. DSM 構文解析に関する問題発生時に収集すべき情報

DSM 構文解析の問題についてサポートを受けるためには、以下の情報が必要となります。:


2a. 導入している DSM バージョンの確認方法

  • 不明や格納または、誤ってカテゴリー化されたイベントのアプライアンス名やソフトウェア名。
  • ログ・ソース設定の画面キャプチャー。該当のログ・ソースをダブルクリックして編集画面を開き、画面キャプチャーを取得してください。
  • 誤ったイベントの画面キャプチャー。[ログ・アクティビティ] タブでイベントをダブルクリックしてイベント・サマリを表示の上、画面キャプチャーを取得してください。
  • イベントを生成しているソフトウェアのバージョン。もしネットワーク内に複数のアプライアンスがある場合、すべてのバージョンをリストします。
  • QRadar Console にインストールされている DSM のバージョン。(次の手順を参照してください)
  • Console の [ログ・アクティビティ] タブからの Full XML エクスポート。(次の手順を参照してください)
手順
  1. SSH を使用して、QRadar Console に root でログインします。
  2. インストールされているバージョンを確認するには次のコマンドを入力します。: yum info| grep -i DSM名
  3. このバージョン情報が IBM Fix Central に登録されている情報と比較されます。バージョン情報はサポート・リクエストにも含める必要があります。

2b. イベントのエクスポート方法

手順
  1. Log Activity タブをクリックします。
  2. Add Filter をクリックします。
  3. Log Source > Equals > 構文解析の問題が生じているログ・ソース名 を選択します。
    注: もしログ・ソースがまだグループに割り当てられていない場合は、Other を選択して、グループ化されていない全てのログ・ソースを表示させます。
  4. Add Filter をクリックします。
    Log Activity タブに戻り、選択したログソースによってフィルターされたイベントが表示されます。
  5. View ドロップ-ダウンリストをクリックして、時間間隔を選択します。 例 : 7時間
  6. フィルターされたイベントの内容が該当の問題を含んでいるか確認します。
  7. ナビゲーション・メニューから、Actions > Export to XML > Full Export (All Columns) を選択します。
    注: XML はイベント内容を確認するために最適なフォーマットです。

    結果
    XML イベント・エクスポートを添付して、サービス・リクエストに問題の詳細な説明を記述してください。

3. ハードウェアの問題発生時に収集すべき情報

3a. アプライアンスが IBM xSeries であるか Dell であるかの判断方法

一部の管理者は、ネットワーク内にさまざまな種類のアプライアンスを使用しています。 ハードウェアの問題が発生した場合、使用しているアプライアンスのタイプを理解しておくと、QRadar サポートに DSA ファイル ( xSeries ハードウェア ) を提供する必要があるかどうかを判断するのに役立ちます。 Dell のハードウェアでは結果が表示されない場合があります。

ハードウェア製造社の確認方法 :
  1. SSH やターミナルを使用してアプライアンスに root ユーザーとしてログインします。
  2. ハードウェア製造社を確認するために次のコマンドを入力します : dmidecode -t system
  3. 画面に出力された製造社情報を確認します。

    出力の例:
    # dmidecode 2.12
    # SMBIOS entry point at 0x7f6be000
    SMBIOS 2.5 present.

    Handle 0x0030, DMI type 1, 27 bytes
    System Information
    Manufacturer: IBM
    Product Name: System x3650 M3 -[7945AC1]-
    Version: 00
    Serial Number: KQ35RWH
    UUID: 09E10B2B-16C9-3B91-888B-73C34F82FC1D
    Wake-up Type: Other
    SKU Number:
    Family: System x

3b. IBM xSeries アプライアンス : Dynamic System Analysis ( DSA ) レポートの実行方法


 xSeries アプライアンスのハードウェアで問題が発生した場合は、DSA ユーティリティを実行して、ハードウェア・サポート・リクエストにてご連絡ください。

始める前に: QRadar アプライアンスは DSA ユーティリティーがインストールされた状態で出荷されます。もし、"This system is not supported by this version of DSA" というメッセージが出力された場合には、ご使用のアプライアンスで更新されたビルドの DSA が必要になる場合があります。ご使用のアプライアンスに関する DSA ユーティリティーの正しい更新については次のリンクを参照してください。

Versions of the DSA utility required for my QRadar Appliance
手順
  1. SSH を使用して、ハードウェア・エラーが発生したリモート QRadar アプライアンスにログインします。
    : 始めに Console に SSH 接続し、続いてデプロイメント内の管理対象ホストへ別の SSH セッションを開く必要があります。
  2. ディレクトリーをサポート・フォルダーに変更するには、次のように入力します: cd /opt/qradar/support
  3. DSA ユーティリティーのパーミッションを確認するために次のコマンドを入力します : ls -l *dsa*
    パーミッションが  " rw-r-r- "  の場合には、DSA ユーティリティーを実行するためにパーミッションを変更する必要があります。
  4. パーミッションを変更するために次のコマンドを入力します: chmod 755 <DSA_build>_x86-64.bin
  5. アプライアンスで DSA レポートを実行するために次のコマンドを実行します: ./<DSA_build>_x86-64.bin
  6. DSA ユーティリティーは、マシン・タイプ_シリアル・ナンバー_date.xml.gz という形式で .gz ファイルを /var/log/IBM_Support に作成します。
    例: /var/log/IBM_Support/7944AC1_KQ97NYC_20150927-163515.xml.gz
  7. ファイルをリモート・ホストにコピーします。
  8. 次の URL をクリックして、サービス ・リクエストを開きます: https://ibm.com/mysupport
  9. [新しいサービス・ リクエスト] をクリックし、IBMid でサインインします。
  10. [ソフトウェアに問題があります]を選択します。
    : QRadar ソフトウェア・チームは、ハードウェア関連の問題も含め、すべてのリクエストをレビューします。 またすべての QRadar チケットは、ソフトウェアの問題としてオープンできます。
  11. ログ・ファイルを添付し、問題の説明を入力します。
  12. IBM サポートは、お客様が希望する連絡方法にてお客様へご連絡します。
:ご使用のシステムが起動しない場合は、起動していないアプライアンスの次のセクション ( 3c ) の手順に従ってください。
 

3c. 起動していないアプライアンスの Dynamic System Analysis ( DSA ) レポートの実行方法


xSeries アプライアンスでハードウェアの問題が発生している場合は、DSA ユーティリティーを実行して、ハードウェアのサポート・リクエストにてご連絡ください。以下の手順は、正常に起動しないアプライアンスでハードウェア・レポートを収集する方法について説明します。このハードウェア・レポートはサービス・リクエスト時に必ず必要となります。ハードウェアまたはソフトウェアの問題が原因でサスペンドまたはフリーズしたアプライアンスの場合にはこの手順に従ってください。
 
手順
  1. QRadar アプライアンスを再起動します。
  2. F2 を選択してdiagnostics に入ります。
  3. メモリー・テストが開始された場合には、 ESC キーを押して停止します。
  4. メニューが表示されたら、矢印を Quit に合わせ、Quit to DSA を選択します。
  5. コマンドライン・オプションを選択します : CMD.
  6. Fat 32 フォーマットの USB フラッシュ・ドライブを挿入します。出力ファイルは、通常 1MB 未満です。
  7. オプションを指定せずに collect を選択します。オプション 1 を指定した場合は DSA ダイアグノスティクスが収集されます。
  8. 2 回完了した後に、exit して前のメニューに戻ります。
  9. copy to local media オプションを選択します。
  10. USB フラッシュ・ドライブが認識されない場合には再接続して再度試してください。それでも認識しない場合は別の USB デバイスを使用してください。
注: DSA は時々その起動や実行に長い時間がかかることがあるため、DSA プログラムが機能していないように見える場合があります。しかしながら、このプロセスを中断しないでください。USB フラッシュ・ドライブに書き込む前の情報収集とレポートが完了するまでに 5 分ほどかかる場合があります。

結果
アプライアンスのデータが収集されると、ファイルは USB フラッシュ・ドライブに保存されます。USB ドライブにファイルが書き込まれるプロセスは数秒程度で完了します。



3d.  ハード・ディスク以外の問題における IMM ログの実行方法

xSeries アプライアンスでハード・ディスク以外のハードウェアの問題が発生した場合は IMMDSA ユーティリティーから Download Service オプションを実行して、DSA に加えて取得したファイルを ハードウェア・サポート・リクエストを使用して送信します。この手順は次の Lenovo のリンクをご参照ください。: Download service data option.


3e. Dell アプライアンス : Dell Hardware Case の開き方と iDRAC を使用したログの生成方法

Dell アプライアンスのハードウェアの問題が発生した場合は、integrated Dell Remote Access Controller (iDRAC) カードを使用してシステム・レポートを生成します。管理者はレビューのためにシステム・レポートを QRadar Support に送信できます。QRadar Support が Dell のハードウェア問題をレビューするには次の内容が必要です。
  1. ハードウェア問題の詳細。
  2. エラー・メッセージのテキストまたはスクリーン・ショット。
サポート担当者はあなたが希望する方法を使用して連絡します。チケットをオープンした際に連絡できない場合には、サポート担当者がメッセージを残すか、またはお客様にてケースの説明に二次連絡先を含めることができます。ログや追加の情報が必要な場合にはチケットが更新され、詳細とともにステータスが *Awaiting your Feedback* に変わります。

この手順について質問がある場合は、フォーラムで質問することができます。: ibm.biz/qradarforums.
integrated Dell Remote Access Controller (iDRAC) を使用してログを生成する方法は、次の Dell のリンクを参照してください。:

4. WinCollect エージェントに関する問題発生時に収集すべき情報

WinCollect エージェントの問題発生時には、サポート・チケットにて次の情報を提供してください。
問題説明のための情報提供
  1. WinCollect エージェントの /config ディレクトリーおよび /logs ディレクトリーを含む .zip ファイル。
  2. 問題の詳細、Windows オペレーティングシステム、および影響を受けているホスト名または IP アドレス。

    例:
  • Windows Server 2008 R2 を搭載した 4 台の Hyper-V コンピューターからイベントを収集する際に問題が発生しています。 WinCollect エージェント名は _____ で、イベントを収集しようとしているホスト名は、hostA ( 198.51.100.1 )、hostB ( 198.51.100.2 )、hostC ( 198.51.100.3 )、および hostD ( 198.51.100.4 ) です。 これらの Windows システムは、DMZ 内にあります。
  • WinCollect のログ・ソース・バルク追加機能を使用して 250 個のログ ソースを追加しましたが、最近になってイベント送信が停止しました。 最後のイベント時間及びWinCollect エージェント名は ____ で、調査したいログ ソースは、hostA ( 198.51.100.1 )、hostB ( 198.51.100.2 )、hostC ( 198.51.100.3 )、および hostD ( 198.51.100.4 ) です。 これは、ログ・ソース構成のスクリーン・キャプチャーです。
  • コマンド・プロンプト・インストーラーを使用して、ホスト X に新しい WinCollect エージェントをインストールしましたがうまく動きません。
    何回か試してみましたが、WinCollect エージェントがログ・ソースを自動作成しません。
    私が使用したインストール・コマンドのテキスト・ファイルを添付しました。WC_install.txt を参照してください。
手順
  1. WinCollect エージェント・ホストの Windows オペレーティング・システムにログインします。
  2. Start > All Programs > Administrative tools > Services をクリックします。
  3. WinCollect サービスを選択します。
  4. Stop をクリックします。
  5. Start > All Programs > Accessories > Windows Explorer をクリックします。
  6. WinCollect のインストール・ディレクトリーに移動します。デフォルトのパスは C:\Program Files\IBM\WinCollect です。
  7. 複数のフォルダーを選択するには、Ctrl キーを押しながら configlogs のフォルダーを選択します。
  8. 選択したフォルダーの1つを右クリックして、Send to > Compressed (zipped) folder を選択します。
  9. 次の URL をクリックして、サービス ・リクエストを開きます。: https://ibm.com/mysupport
  10. [新しいサービス・ リクエスト] をクリックし、IBMid でサインインします。
  11. [ソフトウェアに問題があります]を選択します。
    : QRadar ソフトウェア・チームは、ハードウェア関連の問題も含め、すべてのリクエストをレビューします。 またすべての QRadar チケットは、ソフトウェアの問題としてオープンできます。
  12. ログ・ファイルを添付し、問題の説明を入力します。

    結果
    IBM サポートは、お客様が希望する連絡方法にてお客様へご連絡します。予備の連絡先をケースに含めることもできます。

5. イベント・パイプラインに関する問題発生時に収集すべき情報

QRadar サポートには、コンソール・アプライアンスから実行できる 2 つのツールが用意されています。(両方のコマンドを実行してください。)

  /opt/qradar/support/findExpensiveCustomProperties.sh  
/opt/qradar/support/findExpensiveCustomRules.sh

コマンドを実行したディレクトリーに下記のフォーマットで出力されます。getlogs とともにに case にアップロードしてください。
Custom(Properties|Rules)-{date}-(..).tar.gz

[{"Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwsyAAA","label":"Admin Tasks"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Version(s)"},{"Product":{"code":"SSBQNH","label":"IBM Security QRadar Log Manager"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Component":" ","Platform":[{"code":"","label":""}],"Version":"","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}}]

Document Information

Modified date:
16 December 2022

UID

ibm16844679

Page Feedback