Troubleshooting
Problem
この技術書では、QRadar ホストでポート・スキャンを実行し、未使用のポートが開いていることが明らかになった場合に何をすべきかについてご案内します。
Cause
UDP マルチラインや TLS Syslog などの特定のログ・ソース・タイプでリスニング・ポートを変更すると、元のポートが閉じず、孤立したポートがオープンしたままになることがあります。これはまれに起こる問題ですが、オールインワン ( AIO ) アプライアンスよりも、コンソールとイベントを収集するアプライアンス ( EC / EP ) があるデプロイメントで発生する可能性が高くなります。
理由:
- 構成の変更はすべて、コンソールからイベント・コレクターに複製する必要があり、この間隔は 1 分です。 AIO アプライアンスでは、変更はほぼ瞬時に行われます。
- コンソールとイベント・コレクターの間の接続が切断され、情報の複製が完了しなかった可能性があります。
- Ecs-ec-ingress のサービスが中断される可能性があります。
Diagnosing The Problem
ステップ:
- QRadar コンソール UI にログインします。
- 「管理」 タブ > 「ログ・ソースの管理」 ( LSM アプリ ) を開きます。
- ログ・ソースを見つけて開きます。 この例では、TLS Syslog プロトコルを使用しています。
- 「プロトコル」 タブで現在のポート構成を確認します。:
- netstat または ss を使用して、現在リッスンしているポートを確認します。 この例では、6514、6515、および 6516 をチェックします。:
ss -nap | egrep "6514|6515|6516"
結果
プロセス ID ( pid ) の値をメモします。 同じプロセス ID を使用するポートが 2 つ以上ある可能性があります。 これは通常、ポートが同じログ・ソースに関連付けられていることを意味します。 この出力例の ID は 28330 です。:tcp LISTEN 0 50 [::]:6515 [::]:* users:(("java",pid=28330,fd=618)) tcp LISTEN 0 50 [::]:6516 [::]:* users:(("java",pid=28330,fd=631))
Resolving The Problem
この技術書で紹介した netstat もしくは ss コマンドの実行結果を取得し、問題の内容を記載して、 QRadar サポート case を作成することをお勧めします。
Related Information
Document Location
Worldwide
[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwt0AAA","label":"Log Source"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]
Was this topic helpful?
Document Information
Modified date:
26 February 2023
UID
ibm16956844