Question & Answer
Question
QRadar デプロイメントのアップデート前に管理者はどのような項目を確認すべきできすか?
Answer
QRadar 7.3.2へ更新する前の重要な注意
- 7.3.2を適用する前に、アプリケーションノードをデプロイメントから削除する必要があります。App Nodeデータをバックアップし、デプロイメントからApp Nodeを削除するためのスクリプトがあります。この詳細については、 Migrating from an App Node to an App Host を参照してください。
- QRadar 7.3.2に更新する前に、/storetmp 内の重要なデータを/store 内の新しいディレクトリに移動してください。
ユーザーが安全にQRadar内のファイルに長期的に保存することができる場所の詳細については Technote 0874848 - QRadar 7.3.2: Files in /storetmp are removed daily by disk maintenance を参照してください。 - QRadar 7.3.2には、APAR IJ13437に対処するためのArielクエリーのためのより厳密なルールが含まれています。7.3.2にアップデートする前に、aqlValidatorスクリプトを実行して、Arielクエリをアップデートする必要があるかどうかを判断する必要があります。自動更新を有効にしている場合は、次のコマンドを入力してaqlValidatorを実行します。/opt/qradar/support/apar/aqlValidator
このスクリプトがシステムにない場合は、 Technote 2003034 - QRadar: How to Manually Install the QRadar Weekly Auto Update Bundle を参照し自動更新を手動で適用してください。
これでスクリプトを実行できるようになります。aqlValidatorスクリプトについて詳しくは、APAR IJ13446を参照してください。 - QRadar 7.3.2へのソフトウェア更新を完了したら、すべてのアプリが予想どおりに機能していることを確認してください。アプリが外部サーバーに接続している場合、QRadarプロキシーが構成されていて、QRadar 7.3.2に更新した後にアプリが正常に機能しなくなります。QRadar 7.3.2: How to tune proxy configurations for app containers
パッチとアップグレード
この記事には2つの異なるチェックリストがあり、それぞれわずかに異なるプロセスがあります。
- ユーザーにとって最も一般的なソフトウェア更新シナリオは、QRadarパッチ更新です。パッチはSFSファイルの形式で配布され、QRadarソフトウェアの同じソフトウェア・ストリーム(V.R.M.)に更新するために使用されます。例えば、ソフトウェアをQRadar 7.3.1からQRadar 7.3.2に更新します。 このプロセスのチェックリストの詳細については、上の「Patching」をクリックしてください。
- アップグレードはISOファイルとして配布されるメジャー・リリースアップデートです。通常、アップグレードでは、V.R.M.F形式のRビットが増加します。このプロセスのチェックリストの詳細については、上記の Upgrading をクリックしてください。例えば、QRadar 7.2.8を使用しているユーザーは、アップグレードISOファイルを使用してQRadar 7.3.1ソフトウェア・ストリームに更新する必要があります。アップグレードはメジャーアップデートであり、インストーラがインストールの一部としてオペレーティングシステム(OS)をアップデートするのが一般的です。
- ソフトウェアのリリースについての情報、およびSFSまたはISOのリリースノートを検索するためには、QRadar: Master Software Version List & Release Note List (Updated)を参照してください。
- バージョンの詳細については、V.R.M.F Maintenance Stream Delivery Vehicle terminology explanation を参照してください。
- バージョンの詳細については、V.R.M.F Maintenance Stream Delivery Vehicle terminology explanation を参照してください。
Patching
QRadar 7.3.2へのソフトウェア更新を計画している管理者は、開始する前に、「概要」タブで特別なインストール/問題の注意事項を読んでください。
チームと管理者のチェックリスト
- 定期メンテナンスをユーザーに通知します。
- スキャンとレポートの実行が完了していることを確認します。
- エラーログメッセージを防ぐために、開いている QRadar セッションをすべて閉じるようにユーザーに要求します。
- QRadar アプライアンスで実行しているアクティブな 'screen' セッションを閉じるようにユーザーに指示します。
- ローカルワークステーションにアップデートをダウンロードしてください。すべての QRadar リリースノートにリンクが用意されています。
- デプロイメント内のすべてのアプライアンスの IP アドレスまたはホスト名が不明な場合は、 /opt/qradar/support/deployment_info.sh ユーティリティを実行して、デプロイメント内の各アプライアンスの IP アドレスのリストを含む CSV ファイルを取得します。
ハードウェアとデータのレビュー
- 管理者は常に最新の QRadar バージョンに更新することを検討する必要があります。
- IBM Fix Central からダウンロードした QRadar ソフトウェアのチェックサムを確認します。すべてのダウンロードに対してチェックサムファイルが提供されます。
- HA クラスタではオンラインの「アクティブ」状態のプライマリ・アプライアンスが必要であり、更新する前にセカンダリ・アプライアンスのステータスが「スタンバイ」になっている必要があります。HA アプライアンスのいずれかが[不明]の場合、管理者は更新を開始する前にサポートに問い合わせる必要があります。
- すべてのアプライアンスで IMM が設定され、機能していることを確認します。詳細については、「 Integrated Management Module II: User's Guide 」を参照してください。
- アプライアンスのファームウェアが最新バージョンであることを確認します。詳細は、「 QRadar Master Firmware List 」を参照してください。
- すべてのアプライアンスが同じソフトウェアバージョンであることを確認します。
/opt/qradar/support/all_servers.sh -C -k /opt/qradar/bin/myver -v> myver_output.txt - 以前のすべての更新がアンマウントされていることを確認します。
/opt/qradar/support/all_servers.sh -C -k "umount /media/updates" - デプロイメント用のディスク容量を確認します。
/opt/qradar/support/all_servers.sh -C -k df -h /root /var/log | tee diskchecks.txt - 次のディレクトリがマウントされ、使用可能であることを確認します(HAペアの場合は、ステップ10を参照)。
/store - 各アプライアンスでイベントおよびフローデータを格納します。
/storetmp - 各アプライアンスの設定情報を格納します。QRadar 7.3.0以降
/store/tmp - 各アプライアンスの設定情報を格納します。QRadar 7.2.8以前
/transient - 保存済検索とインデックス情報。
- HA ペアでは、ソフトウェアアップデートを開始する前に、次のパーティションを確認する必要があります( 例 ):
- /store はアクティブ・アプライアンスのみにマウントされ、スタンバイではマウントされていない
- /store/transient はレプリケーションに使用されるため、アクティブおよびスタンバイ両アプライアンスでマウントされていること
QRadar ソフトウェアレビュー
- 更新を試みる前に、次のメッセージのエラーと警告のシステム通知を確認してください。これらのエラーおよび警告システムの通知は、更新する前に解決する必要があります。
- パフォーマンスまたはイベントパイプラインの劣化の通知
- メモリ通知
- TX 監視メッセージまたはプロセス停止通知
- HA アクティブまたは HA スタンバイ障害システム通知
- ディスク障害のシステム通知
- Disk Sentry が 1 つまたは複数のストレージパーティションが利用できないことに気づいた
- 時刻同期システムの通知
- バックアップ要求の通知を実行できません
- データレプリケーションの困難
- RAID コントローラの設定ミス通知
- 手動でデプロイを完了し、ユーザーインターフェイスで正常に完了したことを確認します:
管理 > 変更のデプロイ - 最新の構成バックアップが正常に完了したことを確認し、ファイルを安全な場所にダウンロードします。
- アプリケーションがエラー状態にあるか、正しく表示されていませんか?これは、空白のタブ、エラーメッセージ、またはユーザーインターフェイスのエラーを含みます。更新が開始される前に、これらの問題を解決する必要があります。
インストール後
- ブラウザのキャッシュをクリアし、すべてのユーザーにブラウザのキャッシュをクリアするよう警告します。必要に応じて、プライベートブラウジングモードを使用して、QRadar を使用するときにページがキャッシュされないようにすることができます。
- QRadar 管理インターフェースから自動更新を完了します(自動更新>手動更新を取得)
- すべてのホスト上の /media/updates ディレクトリをアンマウントするには、次のように入力します。 /opt/qradar/support/all_servers.sh -C -k “umount /media/updates"
- すべてのアプライアンスから sfs ファイルを削除します。
- QRadar 7.3.1 で変更されたインタフェース名が Red Hat Enterprise 7 オペレーティングシステムのアップデートによって確認できるように設定されている iptables ルールを確認してください。
あなたは更新の問題を経験しました。何をすべきですか?
- QRadarサポートの指示がない限り、再起動や進行中の更新を停止しないでください。進行中の更新プログラムには、 " Patch in progress -- DO NOT REBOOT " というメッセージが表示されます。
- アップデートでエラーメッセージが表示された場合は、記録して QRadar サポートへ報告してください。
- コマンドラインが使用可能な場合は、アプライアンスに SSH を入力し、次のように入力します。 /opt/qradar/support/get_logs.sh -s
- あなたの case をレビューするには、get_logs.sh ユーティリティの出力が必要です。 get_logs.sh ユーティリティーが完了したら、ローカルワークステーションに .tgz ファイルをダウンロードします。 get_logs.sh ユーティリティーは、サポートするための tgz ファイルの場所とファイル名を示します。
- QRadar Support で case を開き、エラーを説明してください。
- アプライアンスが使用できない、または機能していない場合は、「システムダウン」問題があることを示すことができます。
- QRadar のサポート担当者が、お客様が希望する通信方法を使用してお客様に連絡します。
Upgrading
チームと管理者のチェックリスト
- 定期メンテナンスをユーザーに通知します。
- スキャンとレポートの実行が完了していることを確認します。
- エラーログメッセージを防ぐために、開いている QRadar セッションをすべて閉じるようにユーザーに要求します。
- QRadar アプライアンスで実行しているアクティブな「スクリーン」セッションを閉じるようにユーザーに指示します。
- ローカルワークステーションにアップデートをダウンロードしてください。すべての QRadar リリースノートにリンクが用意されています。
- デプロイメント内のすべてのアプライアンスの IP アドレスまたはホスト名が不明な場合は、 /opt/qradar/support/deployment_info.sh ユーティリティを実行して、デプロイメント内の各アプライアンスの IP アドレスのリストを含む CSV ファイルを取得します。
- チームが個人ファイルを安全な場所に移動したことを確認します。安全な場所には、次のものが含まれます。
- スクリプト
- 個人のユーティリティ
- インポートまたはエクスポートファイル
- QRadar サポートによって提供された jar ファイルまたはホットフィックス
- 一時ディレクトリ( /tmp または /storetmp )に重要なファイルが存在しないことを確認します。
ハードウェアとデータのレビュー
- 管理者は常に最新の QRadar バージョンに更新することを検討する必要があります。
- IBM Fix Central からダウンロードした QRadar ソフトウェアのチェックサムを確認します。すべてのダウンロードに対してチェックサムファイルが提供されます。
- HA クラスタではオンラインの「アクティブ」状態のプライマリ・アプライアンスが必要であり、更新する前にセカンダリ・アプライアンスのステータスが「スタンバイ」になっている必要があります。 HA アプライアンスのいずれかが[不明]の場合、管理者は更新を開始する前にサポートに問い合わせる必要があります。
- すべてのアプライアンスでIMMが設定され、機能していることを確認します。詳細については、「 Integrated Management 」を参照してください。
- アプライアンスのファームウェアが最新バージョンであることを確認します。詳細は、「 QRadar Master Firmware List 」を参照してください。
- 管理者は、ダッシュボードやルールなどの CMT エクスポートを完了することで、追加のバックアップステップを実行することもできます。詳細については、 CMT を使用した QRadar コンテンツのエクスポートを参照してください。
- すべてのアプライアンスが同じソフトウェアバージョンであることを確認します。
/opt/qradar/support/all_servers.sh -C -k /opt/qradar/bin/myver -v> myver_output.txt - オフボードストレージが設定されている場合(アプライアンスから /store がマウントされている場合)は、QRadarアップグレードガイドを参照してください。
- 以前のすべての更新がアンマウントされていることを確認します。
/opt/qradar/support/all_servers.sh -C -k "umount /media/updates" - デプロイメント用のディスク容量を確認します。
/opt/qradar/support/all_servers.sh -C -k df -h /root/var/log | tee diskchecks.txt - 管理者は、展開中の重要なアプライアンスに / media / cdrom / setup -t を使用して ISO ファイルをマウントした後で、常に事前テストを完了する必要があります。このプロセスは通常 2 〜 5 分かかり、サービスを再起動しません。
- 次のディレクトリがマウントされ、使用可能であることを確認します( HA ペアの場合は、ステップ 13 を参照)。
/store - 各アプライアンスでイベントおよびフローデータを格納します。
/storetmp - 各アプライアンスの設定情報を格納します。QRadar 7.3.0以降
/store/tmp - 各アプライアンスの設定情報を格納します。QRadar 7.2.8以前
/transient - 保存ずみ検索とインデックス情報。 - HA ペアでは、ソフトウェアアップデートを開始する前に、次のパーティションを確認する必要があります( 例 ):
- /store アクティブ・アプライアンスのみにマウントされ、スタンバイではマウントされない
- /store/transient レプリケーションに使用されるため、アクティブおよびスタンバイ両アプライアンスでマウントされていること
QRadarソフトウェアレビュー
- 更新を試みる前に、次のメッセージのエラーと警告のシステム通知を確認してください。これらのエラーおよび警告システムの通知は、更新する前に解決する必要があります。
- パフォーマンスまたはイベントパイプラインの劣化の通知
- メモリ通知
- TX 監視メッセージまたはプロセス停止通知
- HA アクティブまたは HA スタンバイ障害システム通知
- ディスク障害のシステム通知
- Disk Sentry が 1 つまたは複数のストレージパーティションが利用できないことに気づいた
- 時刻同期システムの通知
- バックアップ要求の通知を実行できません
- データレプリケーションの困難
- RAID コントローラの設定ミス通知
- 手動でデプロイを完了し、ユーザーインターフェイスで正常に完了したことを確認します:
管理 > 変更のデプロイ - 最新の構成バックアップが正常に完了したことを確認し、ファイルを安全な場所にダウンロードします。
- WinCollect のインストールされているバージョンを確認します。 QRadar サポートは、 WinCollect v7.2.5 以降にアップデートすることをお勧めします。
- アプリケーションがエラー状態にあるか、正しく表示されていませんか?これは、空白のタブ、エラーメッセージ、またはユーザーインターフェイスのエラーを含みます。更新が開始される前に、これらの問題を解決する必要があります。
インストール後
- ブラウザのキャッシュをクリアし、すべてのユーザーにブラウザのキャッシュをクリアするよう警告します。必要に応じて、プライベートブラウジングモードを使用して、 QRadar を使用するときにページがキャッシュされないようにすることができます。
- QRadar 管理インターフェースから自動更新を完了します(自動更新>手動更新を取得)
- すべてのホスト上の /media/updates ディレクトリをアンマウントするには、次のように入力します。 /opt/qradar/support/all_servers.sh -C -k “umount /media/updates"
- すべてのアプライアンスから ISO ファイルを削除します。
- スタティック・ルートやカストマイズしたルート情報を確認してください。 アップグレードではスタティックルートが削除される恐れがあり、アップグレード後に管理者によって再作成する必要があります。
- Red Hat Enterprise 7 オペレーティングシステムのアップデートによりQRadar 7.3.1 でインタフェース名が変更された場合は、独自に設定している iptables ルールを確認してください。
- すべてのアプリが予想どおりに機能していることを確認してください。アプリが外部サーバーに接続している場合、QRadarプロキシーが構成されていて、QRadar 7.3.2に更新した後にアプリが正常に機能しなくなります。QRadar 7.3.2: How to tune proxy configurations for app containers
あなたは更新の問題を経験しました。何をすべきですか?
- QRadarサポートの指示がない限り、再起動や進行中の更新を停止しないでください。進行中の更新プログラムには、 " Patch in progress -- DO NOT REBOOT " というメッセージが表示されます。
- アップデートでエラーメッセージが表示された場合は、記録してQRadarサポートへ報告してください。
- コマンドラインが使用可能な場合は、アプライアンスにSSHを入力し、次のように入力します。 /opt/qradar/support/get_logs.sh -s
- あなたの case をレビューするには、 get_logs.sh ユーティリティの出力が必要です。 get_logs.sh ユーティリティーが完了したら、ローカルワークステーションに .tgz ファイルをダウンロードします。 get_logs.sh ユーティリティーは、サポートするための tgz ファイルの場所とファイル名を示します。
- QRadar Support で case を開き、エラーを説明してください。
- アプライアンスが使用できない、または機能していない場合は、「システムダウン」問題があることを示すことができます。
- QRadar のサポート担当者が、お客様が希望する連絡方法を使用してお客様に連絡します。
Related Information
[{"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Component":"Upgrade","Platform":[{"code":"PF016","label":"Linux"}],"Version":"Version Independent","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}}]
Was this topic helpful?
Document Information
Modified date:
07 April 2020
UID
ibm10726101