Límites de capacidad de flujo
Los límites de capacidad de flujo garantizan que el proceso QFlow en IBM QRadar no está sobrecargado.
Cuando el proceso QFlow recibe más tráfico del que puede tratar, se crea un registro de desbordamiento para cada protocolo que se observa en el exceso de tráfico. Estos registros se identifican fácilmente porque tienen una dirección IP de origen 127.0.0.4 y una dirección IP de destino 127.0.0.5.
Por ejemplo, QRadar determina que el límite de capacidad de flujo del Recopilador de flujos es de 100.000 flujos. En un periodo de máxima actividad, el dispositivo captura 120 000 flujos en el intervalo de un minuto. Los 20 000 flujos de exceso no se analizan; en su lugar se crea un registro de desbordamiento para cada protocolo detectado en los 20 000 flujos. El registro de desbordamiento incluye contadores de bytes y de paquetes, pero información como las direcciones IP de origen o destino, los puertos y la captura de carga útil no se recopila ni se almacena.
Límites de capacidad de flujo
- Límite de flujo de despliegue
- Este límite de flujo se basa en la suma de todas las licencias de flujo en todo su despliegue.
- Límite de flujo de hardware
- El límite de flujo de hardware es el número recomendado de flujos, calculado en base a las CPU y la memoria disponibles.
- Límites de flujos de usuario
- Puede establecer el número máximo de flujos que desea que QRadar procese a la vez.
Si se establece un límite de flujo de usuario, este tiene prioridad sobre el límite de flujo de despliegue y sobre el límite de hardware.
Si no se establece el límite de usuario, se utiliza el mínimo entre el límite de hardware y el límite del despliegue.