How To
Summary
この技術書では、QRadar アプライアンスが、デバイスが受け取る EPS ( Event per Second ) レートの量に対して、正しくサイジングされているかどうかを判断する方法についてご案内します。EPS レート以外にも、ルール、CEPs( カスタム・イベント・プロパティ― )、 Ariel 検索などの数、ロジック、複雑さなど、デバイスのパフォーマンスに影響する要因があることに注意してください。QRadar は柔軟なカスタマイズが可能ですが、すべての使用シナリオに対して厳格な要件を提供しているわけではありません。
Steps
QRadar ユーザー・インターフェースの使用
1. QRadar ユーザー・インターフェースにログインします。
2. [ ダッシュボード ] タブを選択します。
3.イベント・レート ( EPS ) ( 数 ) グラフに移動し、設定ボタン( 黄色の歯車 )をクリックして設定を開きます。
4. 時刻範囲 が 7 日以上に設定されていることを確認し、誤差を最小限に抑えます。
提示された例では、EPS レートはコンソールで 1500 を超えず、イベントおよびフロー・プロセッサーで 1 週間を通じて 500 近くを維持しました。
CLI ( コマンドライン・インターフェース ) の使用
1. SSH を使用して、以下のコマンドを実行し、環境内の 1 つのデバイスにアクセスします。" user "を正しいユーザー名に、" 192.168.1.8 " をデバイスの IP アドレスに置き換えてください。
ssh user@192.168.1.8
2. ログをフィルタリングし、「ecs-ec-ingress」と「Incoming raw event rate」というフレーズを含むすべての行を検索します。
grep -E 'ecs-ec-ingress.*Incoming raw event rate' /var/log/qradar.log
出力されるのは、1 分ごとの EPS レートの情報です。 この例では、デモンストレーションのために 1 行だけを抽出しています。
[ecs-ec-ingress.ecs-ec-ingress] [SourceMonitor-1/ecs-ec-ingress.ecs-ec-ingress] com.q1labs.sem.monitors.SourceMonitor: [INFO] [NOT:0000006000][/- -] [-/- -]Incoming raw event rate (5s: 197.80 eps), (10s: 201.50 eps), (15s: 200.67 eps), (30s: 202.73 eps), (60s: 206.60 eps), (300s: 207.91 eps), (900s: 207.91 eps). Peak in the last 60s: 219.80 eps. Max Seen 3179.42 eps. EC Throttles/5s (60s: 0.17). Total EC Throttles in the last 60s: 2. Total EC Throttles: 75816. Appliance Threshold: 502.00
Incoming raw event rate は、5 秒、10 秒、15 秒、30 秒、60 秒、300 秒、900 秒のいくつかの時間範囲ごとの平均 EPS レートを提供します。また、過去 60 秒間の最高値と、最も注目される数値である Max Seen も表示されます。
3. デバイスの実際の EPS レートを決定した後、ハードウェア・リソースがすべての受信イベントを処理するのに十分であるかどうかを検証することができます。 System requirements for virtual appliances にアクセスし、正しい QRadar のバージョンを選択します。
メモリー要件、プロセッサー要件のセクションでデバイスの種類を確認し、EPS レートに適した正しいしきい値を検索してください。
4. 最後のステップは、お使いのデバイスを調べて、搭載されているメモリー量と CPU コア数を確認することです。
SSH を使用してデバイスにアクセスし、次のコマンドを実行します。
free -h
類似の出力例
total used free shared buff/cache available
Mem: 62G 8.3G 18G 6.0G 36G 48G
Swap: 23G 0B 23G
合計メモリーのサイズは 62 GB で、推奨メモリー要件の 64 GB に非常に近い値です。 イベントおよびフロー・プロセッサーでは、EPS レートは 500 に近い値で推移しており、このメモリー構成の最大値は 5000 以下です。
5. 次のコマンドを実行して、デバイスにインストールされている CPU コアの数を取得します。
lscpu | grep '^CPU(s):'
類似の出力例
CPU(s): 32
この例では、32 は 5000 EPS 以下の CPU コアの推奨数でもあります。これは、例示的なイベントおよびフロー・プロセッサーが推奨要件を満たしていることを意味します。
ほとんどの場合は、推奨されるメモリーと CPU コア数を目安にすることをお勧めします。最小要件は、必ずしもパフォーマンスの問題が発生しないことや良好な運用動作を保証するものではありません。
Related Information
Document Location
Worldwide
[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwsyAAA","label":"Admin Tasks"},{"code":"a8m0z000000cwtiAAA","label":"Performance"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]
Was this topic helpful?
Document Information
Modified date:
13 June 2023
UID
ibm16966286