QNI - Advanced Inspection Mode

Wenn IBM QRadar Network Insights Appliances (QNI) im Advanced Inspection Mode betrieben werden, kommt es manchmal zu folgenden Nachrichten, die nach /var/log/qradar.log geschrieben werden: TikaServer (6690) - ERROR - Error starting subprocess: [Errno24] Too many open files.

APAR IJ26096

Sep 2 14:54:58 ::ffff:127.0.0.1 TikaServer (6690) Watcher - INFO - TikaServer (6690) is not running
Sep 2 14:54:58 ::ffff:127.0.0.1 TikaServer (6690) - INFO - Starting
Sep 2 14:54:58 ::ffff:127.0.0.1 TikaServer (6690) - ERROR - Error starting subprocess: [Errno 24] Too many open files

Diese Meldungen sind ein bekanntes Problem und werden unter APAR IJ26096 vom IBM Support nachverfolgt.
Details dazu unter https://www.ibm.com/support/pages/apar/IJ26096

Über diesen "Defekt" bin ich heute mit QNI und einem QRadar Release 7.3.3FP3IF1 "gestolpert". Für die QNIs mit Version 7.3.3 gibt es vom IBM Support einen Workaround und das Problem ist behoben :)

Need To Know - QRadar SIEM Release 7.4.1FP1

In den nächsten Wochen erscheint für den aktuellen QRadar Release 7.4.1 das Fixpack 1.
Der Workaround/Fix für QNI mit diesem "Seiteneffekt" ist damit in dem aktuellen Release 7.4.1FP1 von QRadar enthalten!