Troubleshooting
Problem
「システム・モニター」ダッシュボードの「時系列でのオフェンス」グラフが空白です。 「時系列でのオフェンス ( Offense Over Time ) 」ダッシュボード・グラフにデータが表示されません。
Cause
イベント・パイプラインのデバイス解析段階で関連データが抽出されていない場合、「時系列でのオフェンス」ダッシュボード・ウィジェットが空白になることがあります。RegexMonitor スレッドが、カスタム・イベント・プロパティー ( CEP ) の正規表現パターン抽出が 1 つのイベントで 2 秒以上実行されていることを検出すると、CEP が無効になります。
Diagnosing The Problem
「時系列でのオフェンス」ダッシュボードで、「ログ・アクティビティーで表示 ( View in Log Activity ) 」をクリックして、関連するイベント・ログのログ・アクティビティー検索を開きます。
検索結果テーブルに「アクティブなオフェンス数」または「休止オフェンス数」フィールドの値が表示されない場合は、関連する値がイベントから正しく抽出されていないことを示しています。
カスタム・イベント・プロパティー構成をチェックして、空白の時間経過グラフが無効なプロパティーによって引き起こされていることを確認します。
1. QRadar コンソール GUI で、「管理 ( Admin )」>「データ・ソース ( Data Sources )」>「カスタム・イベント・プロパティー ( Custom Event Properties )」に移動します。
2. 「プロパティーの検索」 欄で文字列「 offense 」を使用してフィルタリングします。
3. 次のいずれかの CEP が無効になっているかどうかを確認します。
- Active Offense Count
- Dormant Offense Count
Resolving The Problem
ダッシュボードに関連する CEP が無効になっている場合は、CEP を有効にします。
デフォルトの CEP は、デバイスの解析時にパフォーマンス低下の問題がある場合に RegexMonitor によって無効化されます。パフォーマンス低下の問題をさらに調査する必要があります。
エラー・メッセージが検出された QRadar 管理ホストのパフォーマンス特性に影響する、デプロイメントに対する最近の変更を確認します。このような変更には、新しいログ・ソース、新しい CEP 、既存の CEP の変更、イベントの構成またはボリュームの変更などが含まれます。
問題が解決しない場合は、IBM サポートにお問い合わせください。
Related Information
Document Location
Worldwide
[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwtIAAQ","label":"Dashboard"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]
Was this topic helpful?
Document Information
Modified date:
29 October 2023
UID
ibm17009287