IBM Support

QRadar: 管理対象ホストから起動された場合にカスタム・アクション・スクリプトがホスト名を解決できない事象について

Troubleshooting


Problem

 QRadar では、スクリプトが外部ホスト名を参照すると、カスタム・アクション・スクリプトが失敗します。

Symptom

カスタム・アクション・スクリプトは、以下の場合に正しく機能します:
・「カスタム・アクション」を起動するルールをトリガーとするイベントが、 QRadar コンソールで受信される。
      あるいは
・「カスタム・アクション」によって使用されているスクリプトが、ホスト名ではなく IP アドレスで通信する。

カスタム・アクション・スクリプトは、以下の両方が true の場合に失敗します:
・「カスタム・アクション」を起動するルールをトリガーとするイベントが、QRadar 管理対象ホストで受信される。
       および
・「カスタム・アクション」によって使用されているスクリプトが、ホスト名で通信を試みる。

Cause

カスタム・アクションは、 customactionuser によって実行されます。このユーザーは、 jail シェルで実行します。

・ QRadar コンソールは、 DNS ルックアップに /etc/resolv.conf.masq を使用します。 /etc/resolv.conf.masqcustomactionuser に対し機能します。
 QRadar 管理対象ホストは、 DNS ルックアップのために /etc/resolv.conf を使用します。 /etc/resolv.conf は、 customactionuser では機能しません。
 /opt/qradar/bin/ca_jail/etc/resolv.conf は、「カスタム・アクション・スクリプト」内でホスト名を解決するために使用する DNS サーバーの管理対象ホスト上で更新する必要があります。


 

Diagnosing The Problem

  1.  スクリプト・ファイルを変更し、ホスト名を外部ソースの IP アドレスに置き換えます。
  2. そのスクリプトをホスト名を使用した古いスクリプトと置き換えて、カスタム・アクションに再アップロードします。
  3. 管理設定を開きます:
    1. IBM Security QRadar V7.3.1 は、ナビゲーション・メニュー( )をクリックします。その後、「管理」をクリックして「管理」タブを開きます。
    2. IBM Security QRadar V7.3.0 あるいはそれ以前の場合は、「管理」タブをクリックします。
  4. カスタム・アクション」までスクロールダウンし、「アクションの定義」をクリックします。
  5. 対象のカスタム・アクション・スクリプトを強調表示させて、「編集」をクリックします。
  6. 更新されたスクリプト・ファイルを参照するため、「開く」をクリックします。
  7. 保存」をクリックします。
  8. スクロールアップし、「変更のデプロイ」をクリックします。
  9. スクリプトが正常に実行されたことを確認するには、「カスタム・アクション」ルールをトリガーとする管理対象ホスト上で受信したイベントを調べます。

Resolving The Problem

ホスト名の代わりに IP アドレスを使用してスクリプトの動作を確認した場合は、 /opt/qradar/bin/ca_jail/etc/resolv.conf を変更して
管理対象ホスト上の /etc/resolv.conf に一致するように構成して、必要に応じて以下の手順で DNS サーバーを追加します。

  1. SSH セッションで root ユーザーとしてコンソールにログインします。
  2. コンソールからカスタム・アクション・ルールをトリガーとしてイベントを受信している管理対象ホストへ SSH で接続します。
  3. 以下のコマンドを使用して、 jail シェルの resolv.conf ファイルをバックアップします。
         cp /opt/qradar/bin/ca_jail/etc/resolv.conf /root/resolv.conf.bak
  4. 次のコマンドを使用して、 /etc/resolv.conf を jail シェルにコピーします。
         cp /etc/resolv.conf /opt/qradar/bin/ca_jail/etc/resolv.conf


結果 : 更新された管理対象ホストから実行されるカスタム・アクション・スクリプトは、現在のホスト名を正常に解決できるようになります。

[{"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Component":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Versions","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}}]

Document Information

Modified date:
08 April 2020

UID

ibm10888483