解决问题
自动更新 9.9 或更早版本:“无法检索清单错误的签名”
自动更新版本 9.9 或更早版本的管理员可能会由于不推荐使用的 GPG 密钥而遇到连接问题。当旧版本的自动更新软件尝试连接到瞻博网络云时,出现“无法检索清单文件的签名”。要解决此错误,管理员可以从“瞻博网络下载”页面运行该JSA-AUProxyFP实用程序。
错误日志示例:
Fri Nov 510:30:062021 [DEVEL] Downloading "dau/dau.manifest.xml.asc"and placing in "/store/autoupdates/". Fri Nov 510:30:062021 [DEVEL] Attempting to retrieve https://auto-update.qradar.ibmcloud.com /dau/dau.manifest.xml.asc?version=7.4.3&customer=Example%20ExampleCorp.&lastau=0&lastpatch=0 &vendor=Q1%20Labs Fri Nov 510:30:062021 [INFO] Could not retrieve "dau/dau.manifest.xml.asc": 404 Not Found Fri Nov 510:30:062021 [ERROR] Could not retrieve signature for the manifest file.
程序
使用 SSH 以 root 用户身份登录 JSA 控制台。
导航到 /var/ log/autoupdates 目录。
要查找最新的自动更新日志,请键入:
ls -lart。输出按日期显示自动更新日志。例如,
[root@qradar-lab]# ls-lartdrwxr-xr-x 2 rootroot 66 Nov 11 15:40AU-1636662807drwxr-xr-x 2 rootroot 66 Nov 10 15:40AU-1631778909drwxr-xr-x 2 rootroot 66 Nov 09 15:40AU-1636490007
按日期导航到包含最新自动更新日志的目录。
查看日志中的错误消息。例如,
less AU-1636662807.log | grep'Could not retrieve signature'
注意:如果自动更新版本为 9.9 或更早版本,并且自动更新日志中存在签名错误,请运行 AUProxyFP-9.11 更新。
将自动更新修订包实用程序从 “瞻博网络下载”页面 下载到您的笔记本电脑或工作站:
AUProxyFP.tgz将文件复制到 JSA 控制台的目录中,如 / root、/tmp 或 /storetmp。
导航到包含
AUProxyFP.tgz file.键入以下命令以解压缩文件:
tar -zxvf AUProxyFP.tgz如果使用 tar 命令提取文件时遇到问题,请键入:
gunzip -c AUProxyFP.tgz | tar zxvf -键入以下命令以安装代理修订包:
./install.sh在“ 管理 ”选项卡中,单击“ 自动更新 ”图标,然后单击 “获取新更新”。
选。启动自动更新请求后,可以确认自动更新版本已更新。
[root@qradar-lab]# /opt/qradar/bin/UpdateConfs.pl -v9.10
结果
等待自动更新运行并确认更新成功。如果仍然遇到错误,请联系 瞻博网络客户支持
自动更新 9.10 及更高版本:“签名错误,拒绝清单错误”
自动更新版本 9.10 或更高版本的管理员可能会遇到文件是旧版本的问题 au-cert.pem ,这可能会导致服务器返回“签名错误”错误。如果遇到此错误,可以从控制台中删除 au-cert.pem 该文件并运行手动自动更新。
错误日志示例:
Mon Nov 803:08:112021 [DEVEL] Running: openssl x509 -in /tmp/au_cert -pubkey -noout > /tmp/au_pub Mon Nov 803:08:112021 [DEVEL] openssl dgst -sha256 -verify /tmp/au_pub -signature /store/autoupdates/scripts /AUScripts.tgz.sig /store/autoupdates/scripts/AUScripts.tgz /var/log/autoupdates/AU-1636358882/AU-1636358882.log >> /var/log/autoupdates/AU-1636358882/AU-1636358882.log 2>&1 Mon Nov 803:08:112021 [DEVEL] Output of verification command above: Verification Failure Mon Nov 803:08:112021 [ERROR] Bad signature! Rejecting the manifest, aborting Mon Nov 803:08:112021 [ERROR] Could not verify the authenticity of scripts/AUScripts.tgz.
程序
使用 SSH 以 root 用户身份登录 JSA 控制台。
导航到 / store/autoupdates 目录。
删除文件
au-cert.pem文件。例如,rm au-cert.pm.运行自动更新以接收更新
au-cert-chain.pem的文件。在“ 管理 ”选项卡中,单击“ 自动更新 ”图标,然后单击 “获取新更新”。
或
要从命令行启动自动更新,请键入:
/opt/qradar/bin/UpdateConfs.pl -ds runnow 1
结果
当控制台连接到自动更新服务器时,它会将删除 au-cert 的文件替换为名为 au-cert-chain的新文件。等待自动更新运行。如果自动更新失败,管理员可以运行该 AUProxyFP-9.11 实用程序。有关运行 AUProxyFP-9.11的信息,请参阅本技术说明中的 自动更新 9.9 或更早版本:“无法检索清单错误的签名”。 如果仍然遇到错误,请联系 瞻博网络客户支持。