How To
Summary
FindExpensiveCustomProperties.sh は、カスタム・イベント・プロパティー ( CEP ) のパフォーマンス特性を確認するために提供されるユーティリティー・スクリプトです。
Objective
findExpensiveCustomProperties.sh を使用して、QRadar イベント・パイプラインのデバイス解析段階でのパフォーマンスのトラブルシューティングを行います。
Steps
findExpensiveCustomProperties.sh スクリプトは、ecs-ec の CEP のパフォーマンスへの影響と特性を、そのサービスを実行しているシステム上で確認するためのユーティリティーです。
注:
- スクリプトのフルパスは
/opt/qradar/support/findExpensiveCustomProperties.shです。 - コマンドの出力は、コマンドが実行される現在の作業ディレクトリーに保存されます。
- トラブルシューティングの情報を一箇所にまとめておくために
/store/ibm_support/パスでコマンドを実行することをお勧めします。
次の手順に従ってコマンドを実行し、最も高負荷な CEP を見つけます。
- SSH を使用して QRadar コンソールにログインします。
- 次のコマンドを実行して、フォルダー
/store/ibm_support/が存在しない場合に備えて作成し、作成後にそのフォルダーに移動します。mkdir -p /store/ibm_support/ cd /store/ibm_support/ - 次のコマンドを実行します。
デフォルトでは 120 秒間実行されますが、-i オプションを使用して変更できます(値は秒単位です)。/opt/qradar/support/findExpensiveCustomProperties.sh - 完了すると、 CustomProperties-<date>.tar.gz というファイルが作業ディレクトリーに保存されます。
出力例:CustomProperties-2022-10-24-17-37.tar.gz - 次のコマンドを使用してファイルを解凍します。
file_nameを手順 4 で作成したファイル名に置き換えます。
コマンド例:tar -xvzf <file_name>tar -xvzf CustomProperties-2022-10-24-17-37.tar.gz - 新しく解凍されたフォルダーに移動します。例:
このフォルダーには、cd CustomProperties-2022-10-24-17-37CustomProperties-<date_stamp>.tabularのようなファイルがあり、これには貴重な情報が含まれており、reports ディレクトリーもあります。# ls CustomProperties-2022-10-24-17-37.tabular CustomProperties-2022-10-24-17-37.xml reports - 最も高負荷な CEP をナノ秒単位で取得するには、ファイル
CustomProperties-<date_stamp>.tabularを確認してください。
このファイルは少し理解しにくい場合もあるので、以下のコマンドを使って、より短く読みやすいフォーマットで情報を読みとります。
出力例:awk -F $'\t' 'BEGIN {OFS="\t"; print "Pattern\tAverageNanoSeconds\tTotalCPUTimeNanoseconds"} {print $4 "\t" $5 "\t" $2*$5}' CustomProperties-*.tabular | sort -t$'\t' -gk3 | column -s$'\t' -t
注: 必要であれば、ナビゲーションを容易にするために、前のコマンドを less -iSR にパイプします。管理者は、イベントごとに平均 500000 ナノ秒を超える CEP を簡単に特定できます。# awk -F $'\t' 'BEGIN {OFS="\t"; print "Pattern\tAverageNanoSeconds\tTotalCPUTimeNanoseconds"} {print $4 "\t" $5 "\t" $2*$5}' CustomProperties-*.tabular | sort -t$'\t' -gk3 | column -s$'\t' -t Pattern AverageNanoSeconds TotalCPUTimeNanoseconds Pattern AverageNanoSeconds 0 CommandExecuted\]\s\:\s+([^\r\n]+) 52730.333333333336 158191 Value=(\S+) 2706.48 7.54188e+07 MetricID=(\S+) 43033.99 1.19919e+09 (?:subject_cn=")([ -~]+?)(?:") 67567.15 2.51395e+10 Destination IP: ([^s]..........) 141219.77 5.25432e+10 - 正規表現パターンをそのプロパティ名に関連付けるには、正規表現パターンをコピーし、そのパターンを使用して次の照会の末尾にある 'REGEX_PATTERN' 部分を置き換えます。
psql -U qradar -c "select propertyname,devicetypedescription,regex from ariel_property_view ;" | grep -F 'REGEX_PATTERN'
この正規表現パターンの出力例(?:subject_cn=")([ -~]+?)(?:"):
出力から、プロパティー名が VPN Subject CN, であり、ログ・ソース・タイプが Cisco Adaptive Security Appliance (ASA) であることがわかります。# psql -U qradar -c "select propertyname,devicetypedescription,regex from ariel_property_view ;" | grep -F '(?:subject_cn=")([ -~]+?)(?:")' VPN Subject CN | Cisco Adaptive Security Appliance (ASA) | (?:subject_cn=")([ -~]+?)(?:") - QRadar コンソールにログインします。
- 「管理者」 タブをクリックします。
- 「カスタム・イベント・プロパティー」 ボタンをクリックします。
- 検索バーを用いて、手順 8 で特定 さ れた Property Name を探す。複数の結果がある場合は、 Ctrl + f を使用して正規表現パターンで検索します。ログ・ソース・タイプも正しいことを確認します。
結果
管理者は、 findExpensiveCustomProperties.sh スクリプトによって提供される情報を使用してスクリプトを使用して高負荷な CEP を検索し、必要に応じて調整できます。
Related Information
Document Location
Worldwide
[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSV4BL","label":"IBM QRadar"},"ARM Category":[{"code":"a8m0z000000cwtiAAA","label":"Performance"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]
Was this topic helpful?
Document Information
Modified date:
01 November 2023
UID
ibm17008331