Question & Answer
Question
QRadar によって生成されたイベントは、ライセンスに対してどのようにカウントされますか?
Answer
QRadar ライセンスに寄与するイベントの種類
QRadar サポートが受け取るよくある質問は、「QRadarでEPSライセンスにどのようなイベントが寄与しているのですか?」
実際には、イベントを解析するすべてのデバイスサポートモジュール (DSM) が EPS ライセンスにカウントされるわけではありません。 QRadar には管理対象ホストからの処理や報告に使用される「いくつもの内部 DSM 」が含まれています。「内部 DSM 」によってイベントが受信され、解析されると、イベントカウントは、ライセンス・ギブバックと呼ばれる機能を使用して、ライセンスに戻されます。
ライセンス・ギブバックは、次の 2 つのシナリオで起こります。
1. イベントがルーティング・ルールによってドロップされた場合。イベント・ルーティングは QRadar のライセンスチェック後に発生するので、イベントをドロップすると、イベントをドロップしたアプライアンスにライセンス・ギブバックが適用されます。 QRadar 7.3.1 ではルーティング・ルールによって削除されたイベントに対してライセンスが返される割合が変更され、この変更はこの記事の後半で説明されています。
2. QRadar の内部 DSM によりイベントが受信された場合。以下の内部イベントはライセンス・ギブバックされます。
- システム通知
- カスタムルールエンジン (CRE)
- Audit
- アノマリ検出エンジン
- アセット・プロファイラ
- スケジュール検索の結果
- Health Metrics
- QRadar Risk Manager ポリシー、シミュレーション、内部ロギング
QRadar 7.3.1におけるライセンスの変更
7.3.1 以降、ドロップされたイベントの100%をアプライアンス自体の最大EPS を上限にライセンス・ギブバックします。この機能により、 1 秒あたりのイベント (EPS) ライセンス数をカウントせずに、無制限の数のログを保存できます。
この動作により、すべてのドロップされたイベントが既存のライセンス容量に返却されます。残りのイベントはパイプラインを通って通常同様処理されます。この機能では、 1 秒間隔でドロップするイベントの数に基づいてライセンスを超えることができますが、ハードウェアの定格 EPS 容量を超えることはできません。
例:
- 1,000 EPS のライセンスと安定したイベントレートの場合、500 EPS を落とすことに決めました。
- 次の 1 秒の間隔で、ライセンス容量は 1,500 EPS に調整されます。
- 次の 1,500 EPS サイクルでは、ドロップフィルタに一致するイベントがさらに発生します。システムは 800件 の一致するイベントをドロップしました。これは既存の 1,000 EPS ライセンスの上に追加され、次の 1 秒の間隔で 1,800 EPS ライセンスを保持します。
- 次のインターバルでは、フィルタに一致するイベントに対して 1,000 個の EPS を落とし、次の秒には受信イベント用に 2,000 個の EPS ライセンスを取得します。
一般的な公式は次の通りです:
ライセンス EPS +ドロップ EPS = 次の1秒間許可される EPS レート
7.3.0およびそれ以前のライセンスレートの計算
ファイアウォール、ルーター、VPN サーバーなどのネットワークデバイス、オペレーティングシステム、およびアプライアンスによって生成されたイベントは、QRadar ライセンスにカウントされます。QRadar 7.3.0でルーティング・ルールを作成してイベントをドロップすると、ルーティング・ルールを使用してドロップしたイベントの 60 %が次の1秒間隔でライセンスに戻されます、最大 2,000 イベント/秒 (EPS) 。
これは、イベントレートが 1,000 EPS で、あるログソースの 500 EPS をドロップすることにした場合、ライセンス・ギブバックは 300 EPS を次の 1 秒間隔に適用することを意味します。
ギブバックはイベントが処理される各アプライアンス毎に適用されます。イベントをドロップするためにルーティングルールを使用すると、各アプライアンスにライセンス・ギブバックが適用されることを意味します。デプロイメント内の各イベントプロセッサーで 500 EPS をドロップすると、個々のイベントプロセッサーはそれぞれ、ライセンス・ギブバックを計算し、イベントプロセッサーあたり最大 2,000 EPS までのギブバックが適用されます。
一般的な公式は次の通りです:
ライセンス EPS + (ドロップ EPS x 0.6) = 次の 1 秒間許可される EPS レート、最高でライセンス EPS + 2,000 EPS ギブバック
注:管理者が QRadar 7.3.1 にアップグレードした後、 2,000 EPS のギブバック制限が解除され、ルーティングルールによって削除されたイベントの 100 %がライセンス・ギブバックされます。
より多くの情報はどこで見つけることができますか?
Related Information
Was this topic helpful?
Document Information
Modified date:
12 December 2018
UID
ibm10743353