Question & Answer
Question
QRadar の資料によると、ルーティング・ルールで転送オプションを使用すると、イベントはカスタム・ルール・エンジンによって処理されます。 これにより、イベントの転送時にライセンスを使用するかどうかなど、ライセンスの使用方法に関する疑問が生じる可能性があります。 この記事はその質問に対する答えを示しています。
Answer
答えは「はい」です。「転送」オプションのみを使用している場合、イベントは QRadar ® に取り込まれ、転送されます。QRadar の資料には以下のように記載されています。
" データが指定した宛先転送に転送されます。 データは、データベースにも格納され、カスタム・ルール・エンジン (CRE) によって処理されます。(Data is forwarded to the specified forwarding destination. Data is also stored in the database and processed by the Custom Rules Engine (CRE).)"
イベントのみを転送し、それらが CRE によって処理されないようにするために、転送と除去の両方のオプションを使用する必要があります。
「転送」と「除去」の両方のオプションを使用すると、内部 QRadar ログでライセンスが消費されますが、システムは次の間隔でそのライセンスをギブバックします。以下に例を示します。
ここでは、ライセンスが消費されていることがわかります。
Dec 23 12:39:19 ::ffff:10.10.10.3 <...> Incoming raw event rate (5s: 868.80 eps),
(10s: 785.90 eps), (15s: 814.07 eps), (30s: 813.80 eps), (60s: 840.82 eps),
(300s: 799.53 eps), (900s: 799.53 eps). Peak in the last 60s: 901.00 eps. Max
Seen 938.00 eps. EC Throttles/5s (60s: 0.00). Total EC Throttles in the last 60s: 0.
Total EC Throttles: 8. Appliance Threshold: 5020.00
ここで、システムがこのライセンスをギブバックすることがわかります。
Dec 23 12:33:09 ::ffff:10.10.10.3 <...> License giveback Event count (SensorDevices
[60s: 106.57 eps]) (Events Dropped [60s: 735.13 eps]) (Events Log Only [60s: 0.00 eps])
(Total [60s: 841.70 eps])
Related Information
[{"Type":"SW","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwsyAAA","label":"Admin Tasks"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Version(s)"}]
Was this topic helpful?
Document Information
Modified date:
12 June 2023
UID
ibm16980731