Troubleshooting
Problem
管理画面内での操作後、「変更のデプロイ」が必要な場合があります。 この記事では、「変更のデプロイ」または「すべての構成のデプロイ」がQRadarサービスに与える影響について説明します。
Resolving The Problem
QRadar コンソールが管理対象ホストに展開する必要がある変更を検出すると、 管理タブに変更を展開する必要があることを示すバナーが表示されます。
変更は QRadar の「 staging 」領域から「 deployed 」領域にプッシュアウトされ、 Hostcontext サービスは適切なコンポーネントを再起動します。 コンポーネントに変更がなければ、変更する必要はないため、そのサービスの再起動は必要ありません。
「 変更のデプロイ 」を実行すると、更新が必要なサービスだけがアプライアンスで再起動されます。 イベント収集サービスは再起動しないため、データの収集と処理は通常どおり続行されます。 変更を適用しても、QRadar イベントパイプライン(収集、処理、ルール、オフェンス)には影響しません。
管理タブの「すべての構成のデプロイ」は、すべての構成ファイルセットを再構築する要求を送信します。 個々のアプライアンスにはそれぞれ固有の構成ファイルが含まれており、サービスを再起動して新しい構成が確実にロードされます。 QRadar データを収集・処理するすべてのプロセスが再起動し、データ収集の中断が発生します。 データ収集の中断は、すべての構成のデプロイ中にECSサービスが再起動されたためです。
QRadar 7.2.6から、Deployでサービスの中断が予想されるたびに、警告ダイアログメッセージが Admin ユーザに表示されます。 これにより、管理者は Deploy を取り消し、後に延期することができます。
「すべての構成のデプロイ」が必要なQRadarの変更の例:
- EC 、EP 、または MPC コンポーネントを持つホストを追加または削除
- EC / EP コンポーネントまたはオフサイトソースまたはターゲットコンポーネントの値の追加、削除、または編集
- EPS またはFPM (Flows per minute)値を変更するライセンスの追加または更新( QRadar 7.3では無効)
- 「管理対象ホスト」で暗号化(トンネリング)を有効または無効にする
「変更のデプロイ」が必要な QRadar の変更の例:
- 新規ユーザーまたはユーザー役割の追加または編集
- ネットワーク階層の追加または更新
- 新しいセキュリティ・プロファイルを追加
- 新しい承認済みサービストークンを作成
- 一元化された資格情報セットの追加 ( security descriptor )
- ログ・ソースの追加
- 別ユーザーのパスワード設定
- ユーザー自身のパスワード変更
- ユーザーのユーザー・ロールもしくはセキュリティ・プロファイルの変更
注: QRadar は中断やダウンタイムの少ない方に移行しているため、上記のリストの対象は将来のリリースで変更される可能性があります。
QRadar に関する情報は以下のリンクからも確認できますのでご参照ください。
Related Information
Was this topic helpful?
Document Information
Modified date:
27 February 2019
UID
ibm10728203