Troubleshooting
Problem
受信する生のイベント・レートがハードウェアの仕様を超えていないかどうかを評価し決定する必要があります。
Diagnosing The Problem
管理者は対象のアプライアンスを調査し、識別(特定)できる必要があります。
- アプライアンスの種類を特定します。
- 管理者がどのようなアプライアンス・タイプが配置されているかを判断するには次の技術書を参照してください。 :
How to determine the appliance type for each host in a distributed deployment - 管理者は、技術書を参照して、アプライアンス・タイプが 'Software' であることを確認できます。:
How to identify a 'Software' installation by appliance function.
- 管理者がどのようなアプライアンス・タイプが配置されているかを判断するには次の技術書を参照してください。 :
- SSH を使用してアプライアンスにログインします。
- 次のコマンドを実行して、ハードウェア・アプライアンスの製品バージョン・タイプを確認します。:
dmidecode | grep -i product
- このコマンドを実行して、ソフトウェア・アプライアンスの CPU の数を確認します。:
nproc
- 次のコマンドを実行して、ハードウェア・アプライアンスの製品バージョン・タイプを確認します。:
- アプライアンスが受信している平均 EPS を判断するには、次の技術書を参照してください。:
How to troubleshoot peak Events Per Second.
結果
導入しているアプライアンスの種類と、1 秒あたりのイベント処理能力を確認したら、その情報を使ってデプロイの管理方法を決めることができます。
Resolving The Problem
始める前に
そのアプライアンスが受け取った平均 EPS を、サポート・ドキュメントに記載されている最大 EPS と比較します。:
- 物理アプライアンス: QRadar M6 appliance overview, QRadar M5 appliance overview, QRadar M4 appliance overview
- ソフトウェア・アプライアンス: System requirements for virtual appliances
- データ・ゲートウェイ:System requirements for data gateways
例
- ソフトウェア・アプライアンス
- 調査対象のアプライアンスは 3199 コンソールであることが確認できます。
- nproc コマンドを入力して、アプライアンスの CPU 数を確認します。:
# nproc 24
- クエリを使用して、アプライアンスの平均受信イベント・レートを検索します。:
SELECT "Hostname" AS 'Hostname (custom)', AVG("Value") AS 'Value (custom) (Average)', COUNT(*) AS 'Count' from events where ( "Metric ID"='EventRate' AND "deviceType"='368' ) GROUP BY "Hostname" order by "Count" desc
- 両方の出力を使用して、System requirements for virtual appliances のドキュメントのベンチマークと比較できます。これは、このカテゴリに該当することを示しています。:
これらの数値は QRadar maximum EPS certification methodology に基づいています。
結論
ドキュメントから、受信イベント・レートがハードウェア制限の範囲内であることが確認できます。
- 調査対象のアプライアンスは 3199 コンソールであることが確認できます。
- ハードウェア・アプライアンス
- アプライアンスは、オールインワン・コンソール 3148 として識別されます。アプライアンス・タイプを確認すると、M5 であることがわかります。:
# dmidecode | grep -i product Product Name: System x3650 M5: -[8871AC1]-
- QRadar M5 xx48 documentation の M5 アプライアンスの概要を見ると、アプライアンスは 30,000 EPS を処理できることが記載されています。
- SSH を使用して、イベント・レートを調査しているアプライアンスに root ユーザーとしてログインします。
- CLI を使用してアプライアンスの受信イベント・レートを確認する。:
# grep -i 'ecs-ec-ingress\].*SourceMonitor.*event' /var/log/qradar.log | sed -n 's/^\(.\{15\} \).*\((60s: [0-9\.]\{1,\} eps)\).*\(Peak.*60s: [0-9\.]\{1,\} eps\).*\(Appliance Threshold.*$\)$/\1 \2 \3 \4 /p' | tail -n 5
Nov 25 13:35:08 (60s: 211.80 eps) Peak in the last 60s: 289.20 eps Appliance Threshold: 502.00 Nov 25 13:36:08 (60s: 218.17 eps) Peak in the last 60s: 301.00 eps Appliance Threshold: 502.00 Nov 25 13:37:08 (60s: 209.00 eps) Peak in the last 60s: 295.80 eps Appliance Threshold: 502.00 Nov 25 13:38:08 (60s: 206.30 eps) Peak in the last 60s: 305.20 eps Appliance Threshold: 502.00 Nov 25 13:39:08 (60s: 211.23 eps) Peak in the last 60s: 295.00 eps Appliance Threshold: 502.00
結果
ドキュメントから、受信イベント・レートがハードウェアの制限の範囲内であることが確認できます。
- アプライアンスは、オールインワン・コンソール 3148 として識別されます。アプライアンス・タイプを確認すると、M5 であることがわかります。:
Related Information
Document Location
Worldwide
[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwtcAAA","label":"Hardware"},{"code":"a8m0z000000cwtiAAA","label":"Performance"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]
Was this topic helpful?
Document Information
Modified date:
31 January 2023
UID
ibm16847845