IBM Support

QRadar SIEM: マイグレーションされたイベントを表示しない検索

Troubleshooting


Problem

あるプロセッサーから別のプロセッサー、データ・ノード、またはコンソールにマイグレーションされたヒストリカル・イベントを検索しても、結果が表示されません。

Cause

これは仕様通りに機能しています。ディスクに書き込まれたデータは、そのプロセッサーのIDでタグ付けされます。 新規サーバーにマイグレーションしても、それらのIDは更新されません。そのため、明示的なプロセッサーまたはコレクターを検索しても、それらのイベントが表示されない可能性があります。

Diagnosing The Problem

ホストを削除すると、「deployment.xml」ファイル内の一部のコンポーネントと接続が残りますが、すべてが残るわけではありません。
<component hostId="53" changed="true" id="3" instanceName="qflow0" version="7.3.1" type="qflow">
<component hostId="53" changed="true" id="7" instanceName="eventcollector0" version="7.3.1" type="eventcollector">
<component hostId="53" changed="false" id="8" instanceName="eventprocessor0" version="7.3.1" type="eventprocessor">
<component hostId="53" changed="false" id="101" instanceName="eventcollectoringress101" version="7.3.1" type="eventcollectoringress">
同じIPでホストを再追加すると、これらのコンポーネントがそのホストに再割り当てされる場合があります。ただし、QRadarのバージョン、構成の変更、またはその他の理由によって異なります。EPが新規コンポーネントを取得すると、検索時に新規コンポーネントIDを使用して検索が実行されます。IDタグは、Arielデータの書き込み時に固定されます。ほとんどいずれかのノードまたはプロセッサーにデータを移動して検索できることは利点ですが、ただ「ログ・アクティビティー」ユーザー・インターフェースからIDでヒストリカルを確実に検索することはできません。

Resolving The Problem

既知のログ・ソースまたはログ・ソース・タイプに基づいて検索します。

Document Location

Worldwide

[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU048","label":"IBM Software"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwt8AAA","label":"Ariel"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Versions"}]

Document Information

Modified date:
31 July 2024

UID

ibm17159766