Question & Answer
Question
QRadar でアプリケーションの問題を効率的に調査するために IBM サポートが必要とする情報は何でしょうか?
Answer
IBM QRadar サポートでは、QRadar アプリケーション関連の問題を調査するために以下の情報が必要です。 必要な情報は、システムに AppHostがインストールされているかどうかによって異なります。
AppHost がインストールされていない場合は、「 No AppHost 」セクションの説明に従ってください。
AppHost がインストールされている場合は、「 AppHost Installed 」セクションの説明に従ってください。
AppHost がインストールされている場合は、「 AppHost Installed 」セクションの説明に従ってください。
NO APPHOST
コンソールで以下を実行し、生成されたアーカイブをこのケースに添付してください。
/opt/qradar/support/get_logs.sh -a -s -q 5
また、コンソールで以下のコマンドを実行し、出力をテキスト・ファイルに保存して、確認のために IBM サポートに送信してください。
clear; echo '===============================';date; hostname -s; hostname -i; /opt/qradar/bin/myver; echo '===============================';docker images; echo ''; docker ps; echo '';
for i in 'si-registry' 'traefik' 'conman' 'vault-qrd' 'localca-server'; do systemctl status $i |egrep 'Loaded|Active|PID'; done
for ip in $(/opt/qradar/support/all_servers.sh -a '40%' -l 2>/dev/null) ; do echo "App Host is attached and ip is" $ip; done
psql -U qradar -c "select id,name, image_repo, status from installed_application;"
curl https://console.localdeployment:5000/v2/_catalog --key /etc/docker/tls/registry/docker-client-registry.key --cert /etc/docker/tls/registry/docker-client-registry.cert
conman-support files |grep -i "config"
/opt/qradar/support/recon ps
openssl x509 -in /etc/httpd/conf/certs/cert.cert -text -noout
for i in $(/opt/qradar/ca/bin/si-qradarca list -print | awk -F, '{print $4}' | sort | uniq); do echo $i; openssl verify -CAfile /etc/pki/tls/cert.pem $i; done
systemctl status docker
APPHOST INSTALLED
以下のコマンドを使用して、QRadar コンソールおよび AppHost から get_logs を収集します。
/opt/qradar/support/get_logs.sh -a -s -q 5
a. コンソールで以下のコマンドを実行し、出力をテキスト・ファイルに保存して、確認のために IBM サポートに送信してください。
clear; echo '===============================';date; hostname -s; hostname -i; /opt/qradar/bin/myver; echo '===============================';docker images; echo ''; docker ps; echo '';
for ip in $(/opt/qradar/support/all_servers.sh -a '40%' -l 2>/dev/null) ; do echo "App Host is attached and ip is" $ip; done
psql -U qradar -c "select id,name, image_repo, status, task_status from installed_application;"
for i in $(/opt/qradar/ca/bin/si-qradarca list -print | awk -F, '{print $4}' | sort | uniq); do echo $i; openssl verify -CAfile /etc/pki/tls/cert.pem $i; done
systemctl status docker
b. AppHost 上で以下のコマンドを実行し、生成された出力をテキスト・ファイル 「apphost-output.txt」として送信してください。
clear; echo '===============================';date; hostname -s; hostname -i; /opt/qradar/bin/myver; echo '===============================';docker images; echo ''; docker ps; echo '';
for i in 'si-registry' 'traefik' 'conman' 'vault-qrd' 'localca-server'; do systemctl status $i |egrep 'Loaded|Active|PID'; done
conman-support files |grep -i "config"
/opt/qradar/support/recon ps
for i in $(/opt/qradar/ca/bin/si-qradarca list -print | awk -F, '{print $4}' | sort | uniq); do echo $i; openssl verify -CAfile /etc/pki/tls/cert.pem $i; done
systemctl status conman
systemctl status docker
Related Information
[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwt3AAA","label":"QRadar Apps"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]
Was this topic helpful?
Document Information
Modified date:
27 February 2023
UID
ibm16953397