Dépannage de IBM QRadar l’intégration de l’ingestion d’infractions

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 3 minutes de lecture

    • Cette section couvre des conseils de dépannage importants et une foire aux questions relative à l’ingestion d’infractions IBM QRadar .

    • Exécution de l’intégration : lorsqu’une tâche planifiée commence à s’exécuter, un enregistrement d’exécution d’intégration avec des journaux, des erreurs et des avertissements s’affiche. Le nombre d’infractions extraites et le nombre d’incidents créés dans une exécution de tâche planifiée sont également affichés. Les utilisateurs disposant du rôle sn_si.analyst peuvent voir si des erreurs/profils ont échoué lors de l’extraction pendant l’exécution de l’intégration.
      Les notes de travail de l’exécution de l’intégration fournissent des liens vers les flux secondaires exécutés. Les utilisateurs disposant du rôle sn_si.analyst peuvent rechercher des erreurs survenues dans la table sn_event_ingestion_integration_run . Pour résoudre les problèmes d’intégration, vous devez d’abord vérifier l’exécution de l’intégration. Les erreurs sont enregistrées sous forme de notes de travail dans les enregistrements d’exécution de l’intégration pour chaque exécution de tâche planifiée.
      Exécution de l’intégration IBM QRadar
    • Problèmes SSL : lors de la connexion à des instances cloud IBM QRadar , assurez-vous que l’instance dispose d’un certificat CA valide qui n’a pas expiré. Vous pouvez importer RSA ou vos propres certificats dans la plateforme et vous assurer que le nom commun du certificat correspond au nom d’hôte. Consultez https://support.servicenow.com/nav_to.do?uri=%2Fkb_view.do%3Fsys_kb_id%3D55ecefd61bf3774cada243f6fe4bcb44 pour en savoir plus.
    • Profil incomplet : lors de la configuration du profil, dans la section Options supplémentaires (Automatiser les mises à jour et les fermetures d’infractions en fonction du statut de l’incident SIR), vous devez cliquer sur le bouton Terminer pour vous assurer que le profil est passé à l’état En attente indiquant qu’il est en attente d’ingestion.
    • Valider le profil : pour vérifier si l’intégration fonctionne correctement, vérifiez les états du profil, la date de la dernière opération extraite du profil, la table d’importation des infractions, les enregistrements de la table des infractions à la tâche.
    • Configuration du serveur MID : si vous installez l’application IBM QRadar sur site, après avoir configuré le serveur MID, vous devez créer une application de serveur MID. Dans la vignette des configurations d’intégration, le nom de l’application MID Server (Serveur MID) doit être utilisé à la place du nom du serveur MID.
      Remarque :
      Le délai de service MID par défaut est de 30 secondes. Pour voir les instructions sur la désactivation du délai d’expiration, reportez-vous à la section <link>. Notez qu’il s’agit d’un changement à l’échelle du système qui peut avoir un impact sur d’autres intégrations.
    • Mises à jour des infractions : si vous avez activé la propriété sn_sec_qradar.get_offense_updates et que vous remarquez un retard dans la création d’incidents de sécurité, désactivez la propriété. N’activez pas cette propriété lorsque l’intervalle d’interrogation est faible et que la charge des infractions sur QRadar est élevée, car cela augmente la charge de la file d’attente.
    • Données d’événement, de flux, de remote_ip ou d’utilisateurs manquantes dans un incident de sécurité : si vous observez que des données d’événement, de flux, de remote_ip ou d’utilisateurs sont manquantes dans un incident de sécurité, augmentez le délai d’expiration (en secondes) du paramètre sn_sec_qradar.sid_ttl . L’augmentation de la durée retarde la création de l’incident de sécurité jusqu’à ce que les AQL terminent l’analyse de chaque infraction.
    • Délais d’expiration : si vous affichez les erreurs de délai d’expiration dans les journaux d’application, examinez et modifiez les actions suivantes du Concepteur de flux :
      Tableau 1. Actions du Concepteur de flux
      Paramètres Action

      Extraire des exemples d'infractions

      var flow_outputs = sn_fd. FlowAPI.executeAction('sn_sec_qradar.fire_rest_for_offenses', flow_inputs, 60000) ;      		 Examinez et mettez à jour la durée en millisecondes.

      Extraire des exemples d'infractions

      var flow_outputs = sn_fd. FlowAPI.executeAction('sn_sec_qradar.fire_rest_for_offenses', flow_inputs) ;      		 Ajoutez un paramètre pour l’executeAction et entrez la durée en millisecondes.

      Extraire les infractions pour les enregistrements de profil et de file d’attente dans la table d’interrogation

      var flow_outputs = sn_fd. FlowAPI.executeAction('sn_sec_qradar.fire_rest_for_offenses', flow_inputs, 180000) ;      		 Examinez et mettez à jour la durée en millisecondes.

      Couche pour le test de connexion REST

      var rest_outputs = sn_fd. FlowAPI.executeAction('sn_sec_qradar.test_connection_rest', rest_inputs) ;      		 Ajoutez un paramètre pour l’executeAction et entrez la durée en millisecondes.

      Couche pour la validation des informations d’identification d’API REST

      var rest_outputs = sn_fd. FlowAPI.executeAction('sn_sec_qradar.validate_credentials_rest', rest_inputs) ;      		 Ajoutez un paramètre pour l’executeAction et entrez la durée en millisecondes.

      Étape REST pour les mises à jour des infractions IBM QRadar

      var result = sn_fd. FlowAPI.executeAction('sn_sec_qradar.' +restStep, entrées,60000) ;      		 Examinez et mettez à jour la durée en millisecondes.