イベントおよびフローのキャパシティーの配分

「ライセンス・プール管理」 ウィンドウを使用して、資格のある 1 秒当たりのイベント数 (EPS) と 1 分当たりのフロー数 (FPM) が完全に使用されるようにします。 また、イベントやフローをドロップしたり、未使用の EPS および FPM が過剰に発生したりすることなく、定期的にデータのバーストを処理するように IBM® QRadar® が構成されていることを確認してください。

始める前に

ライセンス・プールに十分な数の未割り振りの EPS と FPM が存在することを確認します。 ライセンス・プール内の EPS または FPM がすべて割り振られている場合は、割り振りを再配分してください。

このタスクについて

QRadar がすべてのイベントとフローをタイムリーに処理するようにするには、EPS および FPM のキャパシティーを適切に割り振ることが重要です。 目的は、使用されていない EPS および FPM のキャパシティーが必要以上に多くならないようにして、データ・スパイクを効率的に処理できるだけの十分なキャパシティーをホストが持つように EPS および FPM を割り振ることです。

手順

  1. ナビゲーション・メニュー ( ナビゲーション・メニュー・アイコン ) で、 「管理」をクリックします。
  2. 「システム構成」 セクションで、 「システムおよびライセンス管理」をクリックします。
  3. 「表示」 リストから、 「ライセンス」を選択します。
  4. 「ライセンス・プール管理」 をクリックし、円グラフの上にマウスを移動して、デプロイメントの合計容量を表示します。
  5. 「ライセンス割り振り」 表で、データを検討して、アプライアンスに平均 EPS および FPM をカバーするのに十分なイベントおよびフローのキャパシティーがあり、ピーク・ボリュームをカバーするのに十分な残りがあるかどうかを判別します。
    イベントおよびフローの容量データの確認について詳しくは、以下を参照してください。
    • 「EPS 割り振り (EPS Allocation)」 列と 「FPM 割り振り (FPM Allocation)」 列には、各 QRadar プロセッサーまたは QRadar コンソールに割り当てられたキャパシティーが表示されます。
    • 「平均 EPS」 列と 「平均 FPM」 列には、過去 30 日間に QRadar ホストによって処理されたイベントおよびフローの平均数が表示されます。
    • ホスト名をクリックして、過去 30 日間のピーク EPS とピーク FPM のレートの詳細を表示します。
  6. QRadar ホストに割り振られた EPS または FPM のレートを変更するには、編集アイコンをクリックします。
  7. 「割り振り済み EPS (Allocated EPS)」 または 「割り振り済み FPM (Allocated FPM)」 フィールドを更新し、 「保存」をクリックします。
    変更された EPS 割り振りおよび FPM 割り振りは、以下の基準に基づいて検証されます。
    • EPS 割り振りは 100 の倍数である必要があり、FPM 割り振りは 5,000 の倍数である必要があります。
    • 割り振られた EPS または FPM によってライセンス・プールが割り振り過剰にならないようにしてください。
    • 割り振られた EPS または FPM が、対象のアプライアンス・タイプのハードウェア制限を超えないようにしてください。

変更が正しく割り振られていない場合は、 管理者 > 拡張 > イベント収集サービスの再始動をクリックします。

問題が解決しない場合は、 管理者 > 拡張 > 全構成のデプロイをクリックします。 QRadar ログに SourceMonitor 警告メッセージがある場合は、 「管理」 > 拡張 > 「イベント収集サービスの再始動」をクリックします。 フル・デプロイメントにより、イベント収集が数分間停止します。