IBM Support

QRadar : QRadar ホストで 1 日あたりのイベントとフローによって使用されるストレージを計算する方法

How To


Summary

この記事は、コマンド・ライン・インターフェイスを使用して、当月のイベントとフローの両方で、毎日使用されているストレージの量を計算するためのガイドとなります。

Environment

この記事のコマンドは、ローカル・ストレージを使用する QRadar ホストで実行できます。これには以下が含まれます。
  • All-in-One コンソール ( All-in-One consoles )
  • イベントとフロー・プロセッサー ( Event and Flow Processors )
  • フロー・プロセッサー ( Flow Processors )
  • イベント・プロセッサー ( Event Processors )
  • データ・ノード ( Data Nodes )
始める前に
  • これらのコマンドの中には、長いものもありますので、必ず行全体をコピーしてください。
  • ホストに保存されているデータ量によっては、出力に時間がかかる場合があります。

Steps

月ごとのストレージ使用量を計算するコマンドは、テナント構成によって異なります。 環境タイプごとの次の手順に従って、必要な情報を取得します。

シングルテナント環境 :

  1. CLI を使用して QRadar にログインします。
  2. コマンドはイベントを保存しているデバイスで実行する必要があるため、イベントがコンソールとは異なるデバイスにある場合は、そのデバイスに ssh してコマンドを実行します。
  3. 次のコマンドを実行すると、必要な情報を含むテキスト・ファイルが生成されます。
    イベントの場合 : 
    for i in $(eval echo {1..$(date +%-d)}); do echo $(date +%Y)"/"$(date +%-m)"/"$i && du -shc /store/ariel/events/records/$(date +%Y)/$(date +%-m)/$i /store/ariel/events/payloads/$(date +%Y)/$(date +%-m)/$i 2>/dev/null ; echo  ;done > dailyStorageUsedByEvents-$(date +%B)$(date +%Y).txt
    フローの場合 : 
    for i in $(eval echo {1..$(date +%-d)}); do echo $(date +%Y)"/"$(date +%-m)"/"$i && du -shc /store/ariel/flows/records/$(date +%Y)/$(date +%-m)/$i 2>/dev/null ; echo  ;done > dailyStorageUsedByFlows-$(date +%B)$(date +%Y).txt
  4. 結果 :
    このコマンドより、1日あたりの保存データ量を記載した.txtファイル ( 例:dailyStorageUsedByEvents-July2022.txt ) が生成されます。
    image-20220719140413-1

マルチテナント環境 :

マルチテナントが有効で保存バケットが構成されている場合、各テナントはファイル・システムに独自のディレクトリーがあり、それらは次のパスに配置されます。

/store/ariel/events/records/aux/<tenantID#>/Year/Month/Day 

これらのディレクトリーには、その特定のテナントの情報が含まれています。

デフォルトのパス /store/ariel/events/records|payloads/ は、テナント以外のタグ付きデータ用に引き続き存在します。

マルチテナント環境の情報を取得するには、以下の手順を実行します。

  1. 特定のテナントが使用しているストレージを確認するには、そのテナントの ID を特定する必要があります。 次のコマンドを使用して、テナント ID に関連付けられた名前を取得できます。 
    psql -U qradar -c "SELECT id, name FROM tenant WHERE deleted='f';"
  2. テナントの ID が特定されると、次のコマンドを実行できます。
    イベントの場合 : 
    <Tenant_ID>は必ず対応する値で置き換えてください。このコマンドでは、3 回置き換える必要があります。
    for i in $(eval echo {1..$(date +%-d)}); do echo $(date +%Y)"/"$(date +%-m)"/"$i && du -shc /store/ariel/events/records/aux/<Tenant_ID>/$(date +%Y)/$(date +%-m)/$i /store/ariel/events/payloads/aux/<Tenant_ID>/$(date +%Y)/$(date +%-m)/$i 2>/dev/null ; echo  ;done > dailyStorageUsedByEventsTenant<Tenant_ID>-$(date +%B)$(date +%Y).txt
    フローの場合 :
    このコマンドでは、<Tenant_ID> を 2 回置き換える必要があります。 
    for i in $(eval echo {1..$(date +%-d)}); do echo $(date +%Y)"/"$(date +%-m)"/"$i && du -shc /store/ariel/flows/records/aux/<Tenant_ID>/$(date +%Y)/$(date +%-m)/$i 2>/dev/null ; echo  ;done > dailyStorageUsedByFlowsTenant<Tenant_ID>-$(date +%B)$(date +%Y).txt
  3. 結果 :
    このコマンドより、1日あたりの保存データ量を記載した.txtファイル ( 例:dailyStorageUsedByEventsTenant1July2022.txt ) が生成されます。
    image-20220719143012-2

Document Location

Worldwide

[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwt8AAA","label":"Ariel"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]

Document Information

Modified date:
28 April 2023

UID

ibm16967511

Page Feedback