News
Abstract
QRadar® 7.4.0 およびそれ以降では、Event Collector (15xx) および Data Gateway (7000) アプライアンスが受信するイベント・データによって対応不可になることを防ぐためにパフォーマンスの変更が含まれています。ハードウェアの使用可能な CPU とスレッドに基づいてアプライアンスを保護するために、新しいスロットルが導入されました。イベント・コレクターまたはデータ・ゲートウェイで、管理者が常にイベントが遅れやドロップしていることに気付いた際に、ハードウェアの性能を上げるか、ソフトウェアのパラメータを調整する必要がある場合があります。
Content
イベント・プロセッサー (EP) は、通常より高いハードウェア機能を備えており、これにより高いライセンス・レートを処理できます。イベント・コレクター (EC) は EP からのライセンス制限を受け継ぎますが、EC のハードウェアは EP よりも能力が低いため、通常のイベント・レートは EC で処理できるものより負荷が高くなり、EC 側のパフォーマンス問題が露呈します。
15xx および 7000 アプライアンスの新しいしきい値の設定は、使用可能な CPU の数と割り当てられた構文解析スレッドの数に基づき計算された EC 機能を導入しています。
アプライアンス・タイプ | CPU コア | 推奨される RAM | 全体の EPS |
イベント・コレクター (15xx) | 4 | 16 GB | 1000 |
イベント・コレクター (15xx) | 8 | 16 GB | 7000 |
イベント・コレクター (15xx) | 16 | 16 GB | 7,500 - 17,000 |
データ・ゲートウェイ (7000) | 8 | 16 GB ( QRadar 脆弱性マネージャーで 32GB ) |
7,000 |
データ・ゲートウェイ (7000) | 16 | 16 | 7,500 - 17,000 |
表 1: 仮想マシンに CPU /コアを追加したり、ハードウェアを更新したりしないと、EPS 全体のキャパシティーがライセンス・キャパシティーよりも低くなる場合があります。
アプライアンスのコアを判別する方法
管理者は以下のコマンドを使用して、アプライアンスの CPU コアの数を表示できます。
lscpu
管理者は以下のコマンドを使用して、アプライアンスの CPU コアの数を表示できます。
lscpu
重要な注意事項
構文解析スレッド数は、QRadar® チューニング・スクリプトによって構成されます。CPU コアの数によっては、値が増加します。
それらの値の手動変更はサポートされておらず、該当のアプライアンスでパフォーマンス問題が発生する可能性があります。仮想環境では、管理者はハードウェア要件が EPS レートに適合していることを確認する必要があります。
QRadar® イベント・コレクターの場合: 仮想アプライアンスのシステム要件
QRoC データ・ゲートウェイの場合: データ・ゲートウェイのシステム要件
ゲートウェイまたはイベント・コレクター上で
- ハードウェアまたは仮想マシンのコアを更新します。
- SSH を使用し、root ユーザーとして QRadar コンソールにログインします。
- データ・ゲートウェイまたはイベント・コレクターへの SSH セッションを開きます。
- アプライアンスを再起動するには、「 reboot now 」と入力します。
- アプライアンスが再起動するまで待機します。
結果:
アプライアンスの再起動後、コアの数が更新されたことを確認するため、lscpu コマンドを使用します。管理者は、EPS を監視して、追加されたコアが問題を解決していることを確認できます。[root@743EventProcessor ~]# lscpu Architecture: x86_64 CPU op-mode(s): 32-bit, 64-bit Byte Order: Little Endian CPU(s): 40 On-line CPU(s) list: 0-39 Thread(s) per core: 2 Core(s) per socket: 10 Socket(s): 2 NUMA node(s): 2 Vendor ID: GenuineIntel CPU family: 6 Model: 85 Model name: Intel(R) Xeon(R) Silver 4210 CPU @ 2.20GHz Stepping: 7 CPU MHz: 2200.000 BogoMIPS: 4400.00 Virtualization: VT-x L1d cache: 32K L1i cache: 32K L2 cache: 1024K L3 cache: 14080K NUMA node0 CPU(s): 0-9,20-29 NUMA node1 CPU(s): 10-19,30-39 Flags: fpu vme de pse tsc msr
Related Information
[{"Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwtiAAA","label":"Performance"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"7.4.0;7.4.1;7.4.2"}]
Was this topic helpful?
Document Information
Modified date:
30 May 2022
UID
ibm16554142