Question & Answer
Question
QRadar の資料によると、ルーティング・ルールで転送オプションを使用すると、イベントはカスタム・ルール・エンジンによって処理されます。 これにより、イベントの転送時にライセンスを使用するかどうかなど、ライセンスの使用方法に関する疑問が生じる可能性があります。 この記事はその質問に対する答えを示しています。
Answer
答えは「はい」です。「転送」オプションのみを使用している場合、イベントは QRadar ® に取り込まれ、転送されます。QRadar の資料には以下のように記載されています。
" データが指定した宛先転送に転送されます。 データは、データベースにも格納され、カスタム・ルール・エンジン (CRE) によって処理されます。(Data is forwarded to the specified forwarding destination. Data is also stored in the database and processed by the Custom Rules Engine (CRE).)"
イベントのみを転送し、それらが CRE によって処理されないようにするために、転送と除去の両方のオプションを使用する必要があります。
![image 8408](/support/pages/system/files/inline-images/image_8408.png)
「転送」と「除去」の両方のオプションを使用すると、内部 QRadar ログでライセンスが消費されますが、システムは次の間隔でそのライセンスをギブバックします。以下に例を示します。
ここでは、ライセンスが消費されていることがわかります。
Dec 23 12:39:19 ::ffff:10.10.10.3 <...> Incoming raw event rate (5s: 868.80 eps),
(10s: 785.90 eps), (15s: 814.07 eps), (30s: 813.80 eps), (60s: 840.82 eps),
(300s: 799.53 eps), (900s: 799.53 eps). Peak in the last 60s: 901.00 eps. Max
Seen 938.00 eps. EC Throttles/5s (60s: 0.00). Total EC Throttles in the last 60s: 0.
Total EC Throttles: 8. Appliance Threshold: 5020.00
ここで、システムがこのライセンスをギブバックすることがわかります。
Dec 23 12:33:09 ::ffff:10.10.10.3 <...> License giveback Event count (SensorDevices
[60s: 106.57 eps]) (Events Dropped [60s: 735.13 eps]) (Events Log Only [60s: 0.00 eps])
(Total [60s: 841.70 eps])
Related Information
[{"Type":"SW","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwsyAAA","label":"Admin Tasks"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Version(s)"}]
Was this topic helpful?
Document Information
Modified date:
12 June 2023
UID
ibm16980731