Question & Answer
Question
hostcontext を '-q' オプションを使って再起動するのに考慮すべき点は何でしょうか。
Answer
QRadar サポート担当者からの指示が無い限り、決して hostcontext の再起動をしてはいけません。hostcontext を再起動すると、稼働中の多くのサービスが QRadar アプライアンス上で再起動されます。
- 影響を受けるサービスには以下が含まれます。
- reporting_executor
- accumulator
- ariel_proxy_server
- passive_vis.passive
- qflow ( フロー )
- vis ( スキャナー )
- ecs ( イベントとフロー・データに対するイベント・パイプライン )
- hostcontext の担当範囲は以下の通りです。
- コンソールからのデプロイ要求のリスンとデプロイ状況の報告
- 各種構成のダウンロード
- 各種プロセスのレプリケーション (毎分)
- ホストと HA の相手方の状況の報告 (HA が稼働中の場合)
hostcontext を再起動すると、これらのサービスおよび担当範囲に影響を及ぼします。 hostcontext -q を使用すれば、 hostcontext 自体を再起動させ、 hostcontext の担当範囲に影響を与えます。
hostcontext( または hostcontext -q ) を実行すべき理由は2つに限られます。その理由とは次の通りです。
- ホストがデプロイ要求に応答していないと考えられる場合。
- コンソールが最新の構成を使用してリモート・ホストを更新できない場合に構成サービスに問題があると考える場合。
多くのお客様はサポートが hostcontext を再起動させるのを見て問題を修正するための魔法の杖であると思っています。しかしサポート担当者は、データへの影響について説明ぜすにそのコマンドを使用することは決してありません。 再起動は迅速ですが、データ収集および ECS に影響を与えるサービスが再始動されます。
コマンド行アクセスの権限を持つ管理者は、問題の根本原因を理解している場合、またはサポートによって指示される場合のみ、 hontcontext を再起動させるべきです。 hostcontext の再起動は、管理対象ホストの問題を修正するための汎用ソリューションではありません。
QRadar に関する情報は以下のリンクからも確認できますのでご参照ください。
Related Information
[{"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Component":"Admin Console","Platform":[{"code":"PF016","label":"Linux"}],"Version":"Version Independent","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}}]
Was this topic helpful?
Document Information
Modified date:
18 July 2019
UID
ibm10886859