IBM Support

QRadar: あるアプライアンスから別のアプライアンスにデータを移行するときの Ariel の索引再作成

Troubleshooting


Problem

イベントまたはフロー・データを保管する各 QRadar アプライアンスは、アプライアンス上にローカル索引ファイルを作成して、検索速度を向上させます。 アプライアンス間で /store/ariel データを手動で移動する場合は、古い索引を確実に削除して更新するために索引の再作成が必要です。索引を使用すると、ホスト上で実行されている QRadar がデータがディスク上のどこに存在するかを判断できるため、結果がすぐに返されます。 索引が使用できない場合、生データの直接スキャンが実行され、不要なディスク ( I/O ) と CPU 負荷が発生し、検索速度が低下する可能性があります。

次のシナリオでは、データの索引の再作成が必要です。

  1. 移行先ホストにデータがすでに存在する期間にデータが移行された場合。
  2. データが複数のホストから単一のホストに移行され、データの時間枠が重複している場合。

    注: ホスト上のデータの量によっては、データの再索引作成にかなりの時間がかかる場合があります。 ネットワークの問題による中断を避けるために、" screen " コマンドを使用することをお勧めします。

Resolving The Problem

手順の例の期間では、最近移行されたデータに対して最近の検索が迅速に行われるように、直近 2 日間のデータが更新されます。 管理者は、オフライン・インデクサー・ユーティリティーが索引を再作成できるように、コマンド例の日付と時刻を書き換える必要があります。
 

  1. SSH を使用して QRadar コンソールに root ユーザーとしてログインします。
  2. 移行したデータを含むホストへの SSH セッションを開きます。
  3. Screen セッションを開始するには、次のように入力します。 
    screen -S indexer
    重要: 次のコマンドの例では日付と時刻を書き換えます。 QRadar サポートは通常、管理者が完了までの時間を見積もるため、移行された直近 2 日間のデータの索引を再作成することを推奨します。管理者はすべてのデータの索引を再作成できますが、索引の再作成が完了するまでにかなりの時間がかかる場合があります。 2 日から始めると、管理者のベースラインを提供できます。
    ※ 索引には、 1-minute indexes と super indexes の2種類あり、1-minute indexes から再作成する必要があります。
     
  4. 1-minute indexes を削除します。 
    /opt/qradar/bin/ariel_offline_indexer.sh -n events -v -t '2021/10/25 00:00' -d 2880 -a -r
  5. イベントの 1-minute indexes を再構築するには、次のように入力します。 
    /opt/qradar/bin/ariel_offline_indexer.sh -n events -v -t '2021/10/25 00:00' -d 2880 -a
  6. 同じ期間の super indexes を削除します。
    /opt/qradar/bin/ariel_offline_indexer.sh -n events -v -t '2021/10/25 00:00' -d 2880 -s -r
  7. super indexes を再構築するには、次のように入力します。
    /opt/qradar/bin/ariel_offline_indexer.sh -n events -v -t '2021/08/09 00:00' -d 2880 -s
    結果
    索引が再構築されると、データの移行が完了します。

Document Location

Worldwide

[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwt8AAA","label":"Ariel"},{"code":"a8m0z000000cwtNAAQ","label":"Deployment"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]

Document Information

Modified date:
26 November 2023

UID

ibm17014171

Page Feedback