Question & Answer
Question
ログ・ソースごとのEPSレートを確認するための検索を作成する方法はありますか?
Answer
QRadar では、デフォルトで上位 10 個のログ・ソースを確認する「クイック検索」はありますが、ログ・ソースごとのEPSレートを自動的に計算して検索できるメソッドはございません。ただし、以下のステップに従って、指定した時刻範囲内のログ・ソースごとの合計イベント数を抽出する新規検索を作成することができます: (この検索結果より、ログソースごとのEPSレートが計算できます)
- QRadar Web ユーザー・インターフェースから、「ログ・アクティビティー」タブに移動します。
- 「検索」 > 「新規検索」を選択します。
- 新しいページで「列定義」までスクロールダウンします。
- 「列」のリストで「ログ・ソース」を選択し、「 < 」ボタンをクリックして「使用可能な列」に移動します。
- 「使用可能な列」のリストでログ・ソースを選択し、「 > 」ボタンをクリックして、「グループ化の基準」に追加します。
- 「列」のデフォルト項目が変更されます。
7. ページの「時刻範囲」セクションまでスクロールアップし、例えば、過去 5 分間の検索結果を抽出するために「最新」と「過去5分間」を選択します。(検索したい時刻範囲を任意に指定することができます。)
8. 「検索」をクリックします。
検索結果より、イベント数が最も多い上位ログ・ソースの調査などができ、更にこの検索条件をツールバーの「条件の保存」にて、「保存済み検索」もしくは「クイック検索」として保存することもできます。
この検索では、指定した時刻範囲内で QRadar が受信したイベントの合計数が表示されます。ここでログソースごとの1 秒当たりの平均イベント受信数を確認するには、ちょっとした計算を行う必要があります。例えば、過去5 分間の検索結果の場合、イベント数(合計)/300(秒)、特定のログ・ソースの 1 秒当たりの平均受信イベント数が計算できます。
または、AQL を使用した拡張検索を実行して、同じ結果を得ることができます。
SELECT LOGSOURCENAME(logsourceid) AS "Log Source", SUM(eventcount) AS "Number of Events in Interval", SUM(eventcount) / 300 AS "EPS in Interval" FROM events GROUP BY "Log Source" ORDER BY "EPS in Interval" DESC LAST 5 MINUTES
AQL構文内の「 300 」の秒数間隔は、構文内の指定インターバル(
DESC LAST 5 MINUTES
)と同等でなければなりません。例えば、上記AQLの場合はインターバルが「LAST 5 MINUTES
」で指定していますので、「SUM(eventcount) / 300
」では「300」という秒数で割るように指定する必要があります。
結果: 上位 10 個のログ・ソースの EPS が確認できるようになります。
Related Information
Was this topic helpful?
Document Information
Modified date:
07 April 2020
UID
ibm10730007