Troubleshooting
Problem
あるプロセッサーから別のプロセッサー、データ・ノード、またはコンソールにマイグレーションされたヒストリカル・イベントを検索しても、結果が表示されません。
Cause
これは仕様通りに機能しています。ディスクに書き込まれたデータは、そのプロセッサーのIDでタグ付けされます。 新規サーバーにマイグレーションしても、それらのIDは更新されません。そのため、明示的なプロセッサーまたはコレクターを検索しても、それらのイベントが表示されない可能性があります。
Diagnosing The Problem
ホストを削除すると、「deployment.xml」ファイル内の一部のコンポーネントと接続が残りますが、すべてが残るわけではありません。
<component hostId="53" changed="true" id="3" instanceName="qflow0" version="7.3.1" type="qflow">
<component hostId="53" changed="true" id="7" instanceName="eventcollector0" version="7.3.1" type="eventcollector">
<component hostId="53" changed="false" id="8" instanceName="eventprocessor0" version="7.3.1" type="eventprocessor">
<component hostId="53" changed="false" id="101" instanceName="eventcollectoringress101" version="7.3.1" type="eventcollectoringress">
同じIPでホストを再追加すると、これらのコンポーネントがそのホストに再割り当てされる場合があります。ただし、QRadarのバージョン、構成の変更、またはその他の理由によって異なります。EPが新規コンポーネントを取得すると、検索時に新規コンポーネントIDを使用して検索が実行されます。IDタグは、Arielデータの書き込み時に固定されます。ほとんどいずれかのノードまたはプロセッサーにデータを移動して検索できることは利点ですが、ただ「ログ・アクティビティー」ユーザー・インターフェースからIDでヒストリカルを確実に検索することはできません。
Resolving The Problem
既知のログ・ソースまたはログ・ソース・タイプに基づいて検索します。
Related Information
Document Location
Worldwide
[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU048","label":"IBM Software"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwt8AAA","label":"Ariel"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Versions"}]
Was this topic helpful?
Document Information
Modified date:
31 July 2024
UID
ibm17159766