IBM Support

Qradar: 自動更新によりネットワーク・アクティビティー・データの収集を中断する事象について

Question & Answer


Question

フラッシュ通知: 本事象は、17xx、18xx、およびコンソール・アプライアンス上のフロー処理に影響があることが確認されました。管理者は、この問題を修正するためにサービス再始動の必要性をユーザーに通知することを推奨します。これは、ネットワーク・アクティビティーまたはフロー・データを持つ管理者にとって重要な通知です。

Answer

緊急度

重要:このフラッシュ通知でも記載されているように、管理者は QRadar の「管理」タブから「すべての構成のデプロイ」をスケジュールして、レポートされた該当の問題を修正する必要があります。また、Flow Processor スレッドが停止する問題の影響を受けたアプライアンスは Qflow Processor の ECS-EC サービスの再起動で問題を解消します。この TechNote では、管理者へ問題とオプションの概要を記載しています。

概要

2017 年 7 月 10 日(月)、週の自動更新から Qflow の新規項目に含まれる QRadar Identifier ( QID )マップから更新されることが原因で、ネットワーク・アクティビティー(フロー)・データを停止させる可能性のある問題を発見しました。この週の自動更新( WAU バージョン・シリアル 1499356784 )は、QRadar 自動更新から初めて QFlow QID マップ項目が 追加されました。

 QRadar 自動更新を使用していない場合は、この問題による影響を受けません。 また、デプロイメント内にフローが存在しない場合は、この問題の影響を受けません。 QRadar の自動更新を受信後、「すべての構成のデプロイ」が完了済みの場合は、この問題が発生しない可能性があります。QRadar サポートは、すべての管理者がシステム通知または QRadar ログを確認し、ECS-EC サービス内のいずれかのフロー・プロセッサー・コンポーネントに影響があるかどうか確認することを推奨しています。

この問題に関する APAR は保留中です。 本件は管理者がこの問題をたどるため、APAR リンクを使用して更新します。

影響を受ける製品およびバージョン

 7.2.x または 7.3.x (すべてのパッチ・レベル)で QFlow プロセス・コンポーネント を搭載した QRadar アプライアンスは、この問題の影響を受けます。

影響を受けるアプライアンス

・Qradar コンソール ( 31xx )
・All-in-One コンソール ( 31xx-C )
・Qradar フロー・プロセッサー ( 17xx )
・Qradar 組み合わせイベント/フロー・プロセッサー ( 18xx )

影響を受けないアプライアンス

・Qradar ネットワーク・インサイト ( 19xx )
・Qflow コレクター ( 12xx, 13xx )

QFlow プロセス問題の診断方法

フロー処理の問題が発生しているかどうかを、ユーザー・インターフェースか、コマンド・ラインから確認することができます。

ユーザー・インターフェースの場合:

この問題が発生した管理者は、システム通知で WARN: Performance Degradation のメッセージを生成しているかどうか確認することができます。システム通知は、QRadar 内のユーザー・ロールの「システム通知の表示」を用いて、全ての管理者またはユーザーが確認することができます。


システム通知: パフォーマンスの低下がイベント・パイプラインで検出されました。イベントは直接ストレージに経路指定されました。

・QRadar ID ナンバー: 38750088

・ポインター上のテキスト・メッセージ: フロー・サポート・フィルターでは、合計 ### フローが直接ストレージに送信されました。### フローは残り 60 秒以内に送信されます。キューの容量は 100% です。現在の受信したロー・フロー速度: ###.## fps は、システム上の ### .## fps ライセンス・セットを現時点で上回ります。

例:


オプションで、管理者は直近のシステム通知: 38750088 をクリア、あるいは管理者が不在の場合は、このシステム通知でクイック・フィルターを使用して ID を検索できます。

コマンド・ライン・インターフェースから:

ルート・アクセス権限を持つ管理者は、support all_servers.sh スクリプトを使用して、特定のメッセージ・ログを確認し、QRadar ログで FlowSupportProcessingThread と関連したエラー・メッセージを確認することができます。この手順の目的は、「すべての構成のデプロイ」を実行せずに、影響を受けた各々のアプライアンス上で ECS-EC サービスを再始動できるよう、フロー・スレッドの Exception が発生しているアプライアンスを識別することです。

Qradar ログからのエラー文字列:

/var/log/qradar.error:Jul 11 10:43:57 ::ffff:IP ADDRESS [ecs-ec] [FlowSupportProcessingThread_1] com.q1labs.frameworks.core.ThreadExceptionHandler: [ERROR] [NOT:0000003000][IP ADDRESS/- -] [-/- -]Exception was uncaught in thread: FlowSupportProcessingThread_1
/var/log/qradar.error:Jul 11 10:43:57 ::ffff:IP ADDRESS [ecs-ec] [FlowSupportProcessingThread_2] com.q1labs.frameworks.core.ThreadExceptionHandler: [ERROR] [NOT:0000003000][IP ADDRESS/- -] [-/- -]Exception was uncaught in thread: FlowSupportProcessingThread_2

手順

1. SSH を使用して、root ユーザーとして QRadar コンソールにログインします。

2. この問題のアプライアンスを識別するには、次のようにコマンドを打ちます。

 /opt/qradar/support/all_servers.sh -C "grep -r FlowSupportProcessingThread /var/log/qradar* | grep ERROR"

注:このコマンドの結果は、数分かかる場合があります。このコマンドは、FlowSupportProcessingThread が QRadar ログ内でエラーを生成したアプライアンスの IP アドレスを返します。このコマンドが実行されると、qradar.java.debug ログにエラー・メッセージが表示されますが、無視してください。

3. この問題が発生しているすべてのアプライアンスは、以下に示すように「 Exception was uncaught in thread : FlowSupportProcessingThread 」とメッセージが表示されます。

例:

[root@Console] /opt/qradar/support/all_servers.sh -C "grep -r FlowSupportProcessingThread /var/log/qradar* | grep ERROR"

IP ADDRESS -> hostname.example.com
Appliance Type: 3199 Product Version: 7.2.8.20170530170730
11:21:13 up 14:17, 5 users, load average: 6.77, 7.47, 5.21
------------------------------------------------------------------------

IP ADDRESS -> hostname.example.com
Appliance Type: 1801 Product Version: 7.2.8.20170530170730
11:21:13 up 14:24, 1 user, load average: 9.28, 4.93, 2.37
------------------------------------------------------------------------
grep: /var/log/qradar.java.debug: No such file or directory
/var/log/qradar.error:Jul 11 10:43:57 ::ffff:IP ADDRESS [ecs-ec] [FlowSupportProcessingThread_1] com.q1labs.frameworks.core.ThreadExceptionHandler: [ERROR] [NOT:0000003000][IP ADDRESS/- -] [-/- -]Exception was uncaught in thread: FlowSupportProcessingThread_1
/var/log/qradar.error:Jul 11 10:43:57 ::ffff:IP ADDRESS [ecs-ec] [FlowSupportProcessingThread_2] com.q1labs.frameworks.core.ThreadExceptionHandler: [ERROR] [NOT:0000003000][IP ADDRESS/- -] [-/- -]Exception was uncaught in thread: FlowSupportProcessingThread_2
/var/log/qradar.log:Jul 11 10:43:57 ::ffff:IP ADDRESS [ecs-ec] [FlowSupportProcessingThread_1] com.q1labs.frameworks.core.ThreadExceptionHandler: [ERROR] [NOT:0000003000][IP ADDRESS/- -] [-/- -]Exception was uncaught in thread: FlowSupportProcessingThread_1
/var/log/qradar.log:Jul 11 10:43:57 ::ffff:IP ADDRESS [ecs-ec] [FlowSupportProcessingThread_2] com.q1labs.frameworks.core.ThreadExceptionHandler: [ERROR] [NOT:0000003000][IP ADDRESS/- -] [-/- -]Exception was uncaught in thread: FlowSupportProcessingThread_2

注: この例では、3199 のアプライアンスはログから Exception が表示されていないため、影響を受けていません。ただし、1801 アプライアンスは Exception エラーが表示されたので、この問題を解決するためにサービスの再始動が必要になります。

4. フロー・プロセッサー問題の影響を受けてしまうのは、「Exception」を表示するアプライアンスのみです。

5. 管理者は影響を受けたアプライアンスのホスト・ネーム、あるいは IP アドレスをメモしておく必要があります。

6. 各アプライアンス上で ECS-EC サービスを再始動する手順については、以下の「改善策」セクションをご参照ください。

改善策

管理者は以下いづれかの手順で問題を修正することができます。「すべての構成のデプロイ」を実行したくない管理者は、「オプション 2 」を使用して影響を受けるホストを識別し、それらのアプライアンス上で ECS-EC サービスを再始動して、この問題を解決することができます。

オプション 1 : すべての構成のデプロイ実行

 1.  QRadar ユーザー・インターフェースに管理者としてログインします。

 2. 「管理」タブをクリックします。

 3. 「拡張」>「すべての構成のデプロイ」の順にクリックします。

結果

サービスが再始動された後、管理者はパイプラインのパフォーマンス低下のシステム通知を削除するか、または QID 38750088 のフロー・アプライアンスをモニターしてください。 その他のご質問については、 QRadar サポートに連絡いただくか、弊社のフォーラム: http://ibm.biz/qradarforums をご確認ください。

オプション 2 : 各アプライアンス上で ECS-EC サービスの再始動

1. SSH を使用して、root ユーザーとして QRadar コンソールにログインします。

2. フロー・プロセッサーの影響を受けているアプライアンスに SSH で接続します。

3. バージョンに基づいて、以下コマンドのいずれかを入力します。

   ・Qradar 7.2 の場合: service ecs-ec restart

   ・Qradar 7.3 の場合: systemctl restart ecs-ec

任意で all_servers ユーティリティーを使用して、影響を受けるアプライアンスを再始動してください。

例として、フロー・プロセスで各々の管理対象ホストを再始動するには:

QRadar 7.2 : /opt/qradar/support/all_servers.sh -I IPADDRESS, IPADDRESS, IPADDRESS "service restart ecs-ec"
あるいは
QRadar 7.3 : /opt/qradar/support/all_servers.sh -I IPADDRESS, IPADDRESS, IPADDRESS "systemctl restart ecs-ec"
あるいは
QRadar 7.2 : /opt/qradar/support/all_servers.sh -a '18%' "service restart ecs-ec"
あるいは
QRadar 7.3 : /opt/qradar/support/all_servers.sh -a '17%' "systemctl restart ecs-ec"


注: 上記のコマンドはブラウザーがフォントを表示する方法に応じて、小文字の( L )ではなく、大文字( i )を使用します。 ここで、IPADDRESS はアプライアンスのコンマ区切りリストです。

結果

サービスが再始動された後、管理者はパイプラインのパフォーマンス低下のシステム通知を削除するか、またはQID 38750088のフロー・アプライアンスをモニターできます。その他のご質問については、 QRadar サポートに連絡いただくか、弊社のフォーラム: http://ibm.biz/qradarforums をご確認ください。

[{"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Component":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"7.2, 7.3","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}}]

Document Information

Modified date:
07 April 2020

UID

ibm10738795

Page Feedback