Question & Answer
Question
DSM の新規カスタム・イベント・プロパティーを構成すると、DSM エディターのログ・アクティビティー・プレビューで構文解析を表示できますが、ログ・アクティビティー内のイベントでカスタム・イベント・プロパティーを確認することができません。
Cause
新規カスタム・イベント・プロパティーをログ・ソース・タイプ用に作成した後、その時点の Tomcat キャッシュの状態によっては、ログ・アクティビティーに新規カスタム・イベント・プロパティーを表示するためにキャッシュをクリアすることが必要となる場合があります。キャッシュは、コンソールの Web サーバーを再起動することでクリアされます。
Answer
重要: Tomcat サービスを再起動すると、すべてのユーザーが QRadar® UI を使用できなくなります。サービスをすぐに停止することが難しい場合は、あらかじめスケジュールされたメンテナンス期間中に完了させることを推奨します。
コンソールの Web サーバーを再起動するには:
- 管理ユーザーとしてコンソールにログインします。
- 「 Admin 」タブをクリックします。
- UI の上部にある「 Advanced 」をクリックします。
- 「 Restart Web Server 」を選択します。
- 「 OK 」をクリックします。
- Web サーバーの再起動後、イベントが新規カスタム・イベント・プロパティーを表示しているかを確認するために「 Log Activity 」をチェックします。
結果:
上記対応後においてもイベントが新規カスタム・イベント・プロパティーを表示していない場合は、調査のために IBM® サポート・ケースを起票して、IBM QRadar サポートへお問い合わせください。
Related Information
[{"Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwtSAAQ","label":"DSM Editor"},{"code":"a8m0z000000cwtEAAQ","label":"Log Activity"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Version(s)"}]
Was this topic helpful?
Document Information
Modified date:
05 April 2021
UID
ibm16392610