IBM Support

QRadar: qradar.logファイルにおける「Expired ReferenceData element」のフラッディングを止める方法

How To


Summary

期限切れのリファレンス・データのログはすべて/var/log/qradar.logに書き込まれ、「Expired ReferenceData element」のログ・メッセージが大量に記録されるため、ログが急速にローテーションされます。

Steps

問題の診断
以下の行は、/var/log/qradar.logのログ・メッセージの例です。
[tomcat.tomcat] [pool-7-thread-1] com.q1labs.core.shared.referencedata.ReferenceDataExpiryThread: [INFO] [NOT:0070006100][X.X.X.X/- -] [-/- -]Expired ReferenceData element [{xxx}; from collection: UBA : User Accounts, Successful, Recent]
問題の解決

リファレンス・セットにおけるデータ・エレメントの削除、期限切れはQRadarログ・ファイルに書き込まれるため、多くのリファレンス・セットの削除が同時に発生すると、ログがすぐに一杯になったりローテーションしたりします。

/var/log/qradar.logにおける「Expired ReferenceData element」のフラッディングを止めたい管理者は、以下の手順を実行できます。
  1. rootユーザーとしてQRadarコンソールにログインします。
  2. 以下のように、mod_log4j.plスクリプトを実行します。 
    /opt/qradar/support/mod_log4j.pl
  3. このスクリプトでは、スクリプトを実行している人の名前の入力が求められます。ユーザー名を入力します。 
    DEBUG LOGGING
In order to track changes properly, we'll need to know who you are. Please enter your name: Administrator
  4. メインメニューが表示されます。オプション3の「Advanced Menu」を選択します。 
    MAIN MENU
Please select from the following options:
---------------------------------------------------------------------------
        0)      Toggle Debugging
        1)      Display current loggers and levels
        2)      Display changes to loggers
        3)      Advanced Menu
        4)      JMX Logging
        C)      Commit changes
        CQ)     Commit changes and quit this program

Choice (q quits this program without saving changes): 3
  5. Advanced Menuが表示されます。オプション2の「Add a new logger」を選択します。 
    ADVANCED MENU
Please select from the following options:
---------------------------------------------------------------------------
        1)      Modify a logger
        2)      Add a new logger
        3)      Delete a logger
        4)      Restore defaults

Choice (q returns you to the main menu): 2
  6. ログ・メッセージから抽出したクラスパスを使用してロガーを作成します。
    注:com.q1labs.core.shared.referencedata.ReferenceDataExpiryThread」を使用します。 
    CREATE LOGGER
Please enter the classpath (q to go back to the main menu): com.q1labs.core.shared.referencedata.ReferenceDataExpiryThread
  7. ロガーの作成メニューが表示されます。ロガーをオフにするには、オプション4を選択します。 
    CREATE LOGGER: com.q1labs.core.shared.referencedata.ReferenceDataExpiryThread
Please select from the following options:
---------------------------------------------------------------------------
        0)      INFO
        1)      WARN
        2)      ERROR
        3)      DEBUG
        4)      OFF

Choice (q returns you to the main menu): 4
  8. ロガーの作成メニューが表示されます。*」を選択してすべてのオプションを無効にします。 
    CREATE LOGGER: com.q1labs.core.shared.referencedata.ReferenceDataExpiryThread = OFF
Please select from the following options:
---------------------------------------------------------------------------
        0)      SyslogPortAppender
        1)      SyslogPortAppenderNotification
        *)      All of the above

Choice (q returns you to the main menu): *
  9. スクリプトに変更が表示されます。Enterキーを押して確認し、続行します。 
    OK: Appended <logger name="com.q1labs.core.shared.referencedata.ReferenceDataExpiryThread" additivity="false"><!--Tue Jun 27 20:25:19 2023 :: Administrator :: Created new logger node for com.q1labs.core.shared.referencedata.ReferenceDataExpiryThread--><!--Tue Jun 27 20:25:19 2023 :: Administrator :: Changed appender references to SyslogPortAppender,SyslogPortAppenderNotification--><level value="OFF"/><appender-ref ref="SyslogPortAppender"/><appender-ref ref="SyslogPortAppenderNotification"/></logger>
NOTE: These changes require a commit before they take effect.
Press any key to continue
  10. メインメニューが表示されます。CQ」を選択して変更をコミットし、スクリプトを終了します。 
    MAIN MENU :: You have uncommitted changes.

Please select from the following options:
---------------------------------------------------------------------------
        0)      Toggle Debugging
        1)      Display current loggers and levels
        2)      Display changes to loggers
        3)      Advanced Menu
        4)      JMX Logging
        C)      Commit changes
        CQ)     Commit changes and quit this program


Choice (q quits this program without saving changes): CQ
    出力例: 
    OK: Changes committed.
    結果
    これ以降、期限切れのエレメントはqradar.logファイルに送信されなくなるため、ログ・ファイルの循環はすぐに停止します。

Document Location

Worldwide

[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU048","label":"IBM Software"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwt3AAA","label":"QRadar Apps"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Versions"}]

Document Information

Modified date:
12 May 2024

UID

ibm17103496

Page Feedback