How To
Summary
QRadar の 3 種類の EPS グラフの違いを理解する。
Objective
QRadar 内では、デプロイメントのために EPS メトリックが表示される主な場所が 3 つあります。:
- QRadar EPS ダッシュボードは、イベントを受信するすべての管理対象ホストからコンソールのシステム通知ログ・ソースに送信される値を表します。 ecs-ec プロセスは、関連付けが発生する前に、ライセンス、解析、およびルーティング・ルールが適用された後、これらのメトリクスを生成します。 これらの値には、ライセンス・スロットリングまたはルーティング・ルールが原因でドロップされたイベントは含まれません。 このデータは、コンソールのアキュムレーター・プロセスによって集計され、リソースの競合による処理の遅延や、管理対象ホストからのシステム通知イベントの受信の遅延の影響を受ける可能性があります。
- QRadar Deployment Intelligence ( QDI )アプリは、デプロイメント内の各管理対象ホストから QRadar コンソールに送信される Health Metrics イベントにアクセスするための API call を行います。Health Metrics ログ・ソースは、ログ・ソース・タイプ ID 368 にマッピングされます。EventRate メトリックは、QRadar が最初にイベントを受信する ecs-ec-ingress で見られる生の受信イベントの EPS を表します。EventRate ヘルス・メトリックは、ライセンスが評価される前に QRadar が受信したイベントの生のレートを表します。
- QRadar Pulse アプリは、ヘルス・メトリックまたはシステム通知イベントのいずれかを照会するダッシュボードを作成できます。
Steps
QRadar ダッシュボード (システム監視) EPS
QRadar システム・モニター・ダッシュボード には、EPS( Event Per Second )のグラフがあり、以下の 4 つのメトリックのいずれかを表示するように設定することができます。:
- 1 秒当たりのイベント数 (未加工) - ピーク 1 秒
- 1 秒当たりのイベント数 (統合) - ピーク 1 秒
- 1 秒当たりのイベント数 (未加工) - 平均 1 分
- 1 秒当たりのイベント数 (統合) - 平均 1 分
このダッシュボードの基礎となる検索は、StatFilter イベントから時系列データを蓄積します。 StatFilter EPS 値は、デプロイメント内のすべての ecs-ec プロセスから 1 分ごとに報告されます。
StatFilter イベントのサンプルについては、以下の技術書を参照してください。:
https://www.ibm.com/support/pages/qradar-event-rate-eps-graph-may-not-reflect-entire-event-load-system
qradar.log 内の ecs-ec-ingress SourceMonitor メッセージのサンプル:
Nov 2 10:09:00 ::ffff:xx.xx.xx.xx [ecs-ec-ingress.ecs-ec-ingress] [c1971a4e-3837-48b6-af69-8069246acb1f/SequentialEventDispatcher] com.q1labs.sem.monitors.SourceMonitor: [INFO] [NOT:0000006000][xx.xx.xx.xx/- -] [-/- -]Incoming raw event rate (5s: 6.60 eps), (10s: 5.20 eps), (15s: 7.40 eps), (30s: 6.93 eps), (60s: 21.28 eps), (300s: 20.95 eps), (900s: 20.95 eps). Peak in the last 60s: 129.60 eps. Max Seen 13866.20 eps. EC Throttles/5s (60s: 0.00). Total EC Throttles in the last 60s: 0. Total EC Throttles: 1564. Appliance Threshold: 5020.00
QRadar Deployment Intelligence EPS
デフォルトでは、QRadar Deployment Intelligence アプリには、ecs-ec-ingress SourceMonitor EPS レートを表示する組み込みの EPS ダッシュボードがあります。
デフォルトでは、QRadar Deployment Intelligence アプリには、ecs-ec-ingress SourceMonitor EPS レートを表示する組み込みの EPS ダッシュボードがあります。
また、このような AQL 検索を作成し、ログ・アクティビティー に EPS グラフをプロットすることも可能です。:
AQL:
SELECT
"Hostname" AS 'Hostname (custom)',
MAX ("Value") AS 'Value (custom) (Maximum)',
COUNT(*) AS 'Count'
from events
where
"Metric ID" = 'EventRate'
AND "deviceType" = '368'
GROUP BY "Hostname"
ORDER BY "Count" DESC
ログ・アクティビティーで時系列グラフを作成し、関連するヘルス・メトリック・データを表示する手順 :
- 照会を実行し、' HostName ' と ' Value ' 列にデータが含まれていることを確認します。
- 検索を実行したら、「条件の保存」をクリックして検索を保存し、" ダッシュボードに含める " チェックボックスを必ず有効にしてください。 保存した検索に名前を付けます。
- チャートのグラフ・タイプを「時系列」に切り替えます。
- "グラフの値" リストで " Value (カスタム)(最大)" を選択し、"時系列データのキャプチャー" の横にあるチェックボックスをクリックして時系列を有効にし、「保存」をクリックします。」としてください。
- チャート領域で時系列を確認します。
サンプル・グラフ
Health Metrics イベントに対する AQL 検索で作成された Pulse App EPS グラフ
Pulse EPS ダッシュボードは、StatFilter 検索または Health Metrics 検索から作成できます。
Pulse を使用してダッシュボードを作成する手順
- ドロップダウン・リストより「オフェンスの概要」をクリックし、「イベントとフローのメトリック」を選択します。
- 歯車アイコンをクリックして、既存のウィジェットを表示します。 「新しいウィジットの作成」を見つけます。
- 新しいウィジェット・ウィンドウで、ウィジェット名の EPS と説明を入力します。
- 「照会」で「データ・ソース」を使用します: AQL、更新時間:5分ごと
- AQL 照会を照会ボックスにコピー・アンド・ペーストします。
Health Metrics 値を使用するための AQL:
SELECT starttime/(1000*60) as minute, DATEFORMAT(starttime,'yyyy-MM-dd HH:mm:00') as showTime, Hostname, LONG(MAX(Value)) AS PeakEPS, LONG(AVG(Value)) AS AverageEPS FROM events WHERE devicetype = 368 AND "Component Type" = 'ecs-ec-ingress' AND "Metric ID" = 'EventRate' AND Hostname IMATCHES '{Event Rate - Hostname}' GROUP BY minute, Hostname ORDER BY minute ASC LAST {Event Rate - Time Span} - [ Event Rate - Hostname ] フィールドをクリックし、[ View Parameters ] アイコンをクリックします。 プロンプトが表示されたら、不足しているパラメーターを入力します。
[Event Rate - Hostname] には、対象のホスト名を入力します。 たとえば、console-xyz です。 「デフォルト値として設定」を有効にします。
[Event Rate - Time Span] に、時間数を入力します。 たとえば、6 時間です。 「デフォルト値として設定」を有効にします。 - 残りのウィジェット構成を入力します。:
Enter View Name: Health Metric 368
Enter Chart Type: Time Series Chart
Time (x-axis): showTime
Series Type: Dynamic Series
Split series by: Hostname
Values (y-axis): AverageEPS
Area Chart: On
Stacked Area Chart: On
Show Legend: On
*ウィジェットのチェックマークをクリックして有効にし、[保存] をクリックして、Pulse ダッシュボードに表示されるようにしてください。 - [保存] をクリックします。
サンプル・グラフ:
StatFilter イベントの AQL 検索から作成された Pulse アプリの EPS グラフ
AQL 照会を使用して、Pulse ウィジェットとダッシュボードを作成できます。
Pulse ダッシュボードの AQL 照会:
SELECT starttime/(1000*60) as minute,
DATEFORMAT(starttime,'YYYY MM dd HH:mm:ss') as showTime,
(minute * (1000 * 60)) as 'tsTime',
"Events per Second Raw - Peak 1 Sec" as EPS,
parent as aParent
from events
where aParent IN (select aParent FROM
(select parent as aParent,
"Events per Second Raw - Peak 1 Sec" as EPS
from events
where parent <> NULL and logsourceid in (65)
group by Parent
order by EPS
limit 5)
)
group by minute, parent
order by minute ASC
last 1 hours
サンプル・グラフ:
要約:
1. QRadar EPS ダッシュボードは、ライセンス交付および解析後に管理対象ホストで ecs-ec によって生成された StatFilter イベントの EPS メトリックを使用してグラフを表示し、イベント結合に関する情報を含みます。
2. QDI アプリは、ライセンスと解析が適用される前に Ingress から送信された EPS 値を表示します。
3. Pulse アプリ ダッシュボードは、StatFilter またはヘルス・メトリック・データのグラフを表示できます。
Related Information
Document Location
Worldwide
[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwt3AAA","label":"QRadar Apps"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]
Was this topic helpful?
Document Information
Modified date:
12 June 2023
UID
ibm16960177