Question & Answer
Question
Answer
イベント・プロセッサーまたはイベント・フロー・プロセッサーを「イベント・プロセッサー・モード」で構成する管理者は、イベント・プロセッサーに接続されている少なくとも 1 つのデータ・ノード・アプライアンスを、イベント・データおよびフロー・データを保管するために使用する必要があります。 イベント・プロセッサーに割り当てることができるデータ・ノードの数に制限はありません。
イベント・プロセッサー・モードとは?
イベント・プロセッサー・モードは、イベント・プロセッサーがイベントおよびフロー・データを処理するために CPU リソースとメモリー・リソースを専用にすることを可能にする拡張オプションです。 データが処理されるときに、イベントまたはフローの実際のストレージおよび検索は、接続されたデータ・ノード・アプライアンスによって処理されます。 複数のデータ・ノードがイベント・プロセッサーに割り当てられている場合、データはアプライアンス間でバランスが取られ、各データ・ノードにラウンドロビン・フォーマットを使用して送信され、データが均等に分散されます。
図1: QRadar デプロイメントで「 Processing-Only 」モードを使用する方法のアーキテクチャーの例
これは一般的な構成ですか?
いいえ。ほとんどのお客様は、データ・ノードと共にデータを処理および保管するようにイベント・プロセッサーを構成し、ストレージ機能および検索パフォーマンスを拡張します。
どのような利点がありますか?
この機能により、管理者は、高 EPS スループットに対してよりパフォーマンスを向上させ、イベント・プロセッサーの機能をより細かく制御することができます。 データ・ノードがイベント・プロセッサーに接続されている場合は、イベント・プロセッサー・モードを構成できます。 これにより、データ・ノードは、イベントおよびフローを保管および検索するためのプライマリー・アプライアンスになります。
イベント・プロセッサー・モードを有効にする方法
- QRadar ユーザー・インターフェースにログインします。
- 「管理」タブ > 「システムおよびライセンス管理」アイコンをクリックします。
- 「表示」から「システム」をクリックします
- イベント・プロセッサーをクリックします。
- 「デプロイメント・アクション」 > 「ホストの編集」をクリックします。
- 「コンポーネント管理」をクリックします。
- 「コンポーネント構成」画面で、「イベント・プロセッサー」への下部までスクロールします。
- イベント・プロセッサー・モード
- 「アクティブ」は、イベント・プロセッサーがイベントの処理と保管の両方を行うことを意味します。 デフォルトは「アクティブ」です。
- 「 Processing-Only 」とは、アプライアンス・リソースがイベントに使用され、データの格納および検索が、接続されたデータ・ノードによって処理されることを意味します。
- テスト・ルール
- ローカル - ルールはローカル・イベント・プロセッサーでテストされ、デプロイメント間で相関されません。 デフォルトは「ローカル」です。
- グローバル - 相関のためにルールの一致がコンソールに送信されます。
- 「保存」をクリック
データ・ノードがオフラインになった場合はどうなりますか?
イベント処理プログラムが「 Processing-Only 」モードで構成されている場合は、接続されたデータ・ノードにデータを書き込むことができるかどうかを判別するための検査が行われます。 何らかの理由でデータ・ノードがオンラインになっていないか、データを受け取ることができない場合、イベント・プロセッサーはイベントを「アクティブ」モードであるかのようにローカルに保管します。
QRadar に関する情報は以下のリンクからも確認できますのでご参照ください。
Related Information
Was this topic helpful?
Document Information
Modified date:
26 April 2019
UID
ibm10881027