How To
Summary
QRadar は、Health Metric ログ・ソースを使用してイベントを生成し、デプロイメントのシステム・ヘルス及び操作に対する洞察を提供します。これらのイベントは内部的なものであり、ライセンスされた EPS の閾値に還元されますが、これらのイベントの量はパイプラインのパフォーマンスに影響を与える可能性があります。このため、これらのメトリックのポーリング間隔を減らすことが必要な場合があります。
Objective
System Health Metrics のポーリング間隔を減らし、イベント・パイプラインのパフォーマンスへの影響を軽減します。
Environment
QRadar 7.4.x 及びそれ以降のバージョン。
Steps
1. ssh で QRadar にログインします。
2. Health Metric の間隔の現在値を確認するには、当該ホストのコマンド・ライン・インターフェース ( CLI ) で次のコマンドを実行します。
psql -U qradar -c "select id,metric_id,time_resolution_millis from metric_meta_data;"
部分的な出力例は以下の通りです。
psql -U qradar -c "select id,metric_id,time_resolution_millis from metric_meta_data;"
id | metric_id | time_resolution_millis
-----+------------------------------------------------+------------------------
135 | CollectionCount | 60000
136 | CollectionCountCopy | 60000
137 | CollectionTime | 5000
138 | CollectionTimeCopy | 5000
139 | LastCollectionStartTime | 5000
3. metric_meta_data テーブルをバックアップします。
pg_dump -U qradar -t metric_meta_data -f /tmp/metric_meta_data.sql
4. 手順 2 の例で、現在の構成に 5000 ミリ秒に設定された値が含まれているようであれば、次のように 60000 ミリ秒に変更することが可能です。
psql -U qradar -c "update metric_meta_data set time_resolution_millis=60000 where time_resolution_millis=5000;"
これらの値は、ビジネス要件に応じて調整できます。 さらに支援が必要な場合は、QRadar サポートにお問い合わせください。
Related Information
Document Location
Worldwide
[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSV4BL","label":"IBM QRadar"},"ARM Category":[{"code":"a8m0z000000cwtiAAA","label":"Performance"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]
Was this topic helpful?
Document Information
Modified date:
31 March 2023
UID
ibm16958695