Troubleshooting
Problem
QRadar では、スクリプトが外部ホスト名を参照すると、カスタム・アクション・スクリプトが失敗します。
Symptom
カスタム・アクション・スクリプトは、以下の場合に正しく機能します:
・「カスタム・アクション」を起動するルールをトリガーとするイベントが、 QRadar コンソールで受信される。
あるいは
・「カスタム・アクション」によって使用されているスクリプトが、ホスト名ではなく IP アドレスで通信する。
カスタム・アクション・スクリプトは、以下の両方が true の場合に失敗します:
・「カスタム・アクション」を起動するルールをトリガーとするイベントが、QRadar 管理対象ホストで受信される。
および
・「カスタム・アクション」によって使用されているスクリプトが、ホスト名で通信を試みる。
Cause
カスタム・アクションは、 customactionuser によって実行されます。このユーザーは、 jail シェルで実行します。
Diagnosing The Problem
- スクリプト・ファイルを変更し、ホスト名を外部ソースの IP アドレスに置き換えます。
- そのスクリプトをホスト名を使用した古いスクリプトと置き換えて、カスタム・アクションに再アップロードします。
- 管理設定を開きます:
- IBM Security QRadar V7.3.1 は、ナビゲーション・メニュー( ☰ )をクリックします。その後、「管理」をクリックして「管理」タブを開きます。
- IBM Security QRadar V7.3.0 あるいはそれ以前の場合は、「管理」タブをクリックします。
- 「カスタム・アクション」までスクロールダウンし、「アクションの定義」をクリックします。
- 対象のカスタム・アクション・スクリプトを強調表示させて、「編集」をクリックします。
- 更新されたスクリプト・ファイルを参照するため、「開く」をクリックします。
- 「保存」をクリックします。
- スクロールアップし、「変更のデプロイ」をクリックします。
- スクリプトが正常に実行されたことを確認するには、「カスタム・アクション」ルールをトリガーとする管理対象ホスト上で受信したイベントを調べます。
Resolving The Problem
ホスト名の代わりに IP アドレスを使用してスクリプトの動作を確認した場合は、 /opt/qradar/bin/ca_jail/etc/resolv.conf を変更して
管理対象ホスト上の /etc/resolv.conf に一致するように構成して、必要に応じて以下の手順で DNS サーバーを追加します。
- SSH セッションで root ユーザーとしてコンソールにログインします。
- コンソールからカスタム・アクション・ルールをトリガーとしてイベントを受信している管理対象ホストへ SSH で接続します。
- 以下のコマンドを使用して、 jail シェルの resolv.conf ファイルをバックアップします。
cp /opt/qradar/bin/ca_jail/etc/resolv.conf /root/resolv.conf.bak - 次のコマンドを使用して、 /etc/resolv.conf を jail シェルにコピーします。
cp /etc/resolv.conf /opt/qradar/bin/ca_jail/etc/resolv.conf
結果 : 更新された管理対象ホストから実行されるカスタム・アクション・スクリプトは、現在のホスト名を正常に解決できるようになります。
Related Information
Was this topic helpful?
Document Information
Modified date:
08 April 2020
UID
ibm10888483