Troubleshooting
Problem
QRadar SIEM の「ログ・アクティビティー」ページでは、重複イベントが、重複のみ、または特定のログ・ソースからのイベントとして観察されますが、追加のイベントはコンソールに関連付けられています。
Symptom
ログ・アクティビティーで重複したイベントが観察され、ユーザーは TCPDump を使用して単一のイベントのみが表示されることを確認しました。
TCPDumpを使用した受信ログの確認については、こちらをご覧ください。 QRadar: tcpdump を使用した IBM Security QRadar SIEM のトラブルシューティング
TCPDumpを使用した受信ログの確認については、こちらをご覧ください。 QRadar: tcpdump を使用した IBM Security QRadar SIEM のトラブルシューティング
Cause
この問題の原因として考えられるのは、イベントがグローバル・ルールから作成され、そのアクションがイベント・プロセッサー上とコンソール上の両方のイベントに同時に適用されていることです。
Environment
IBM QRadar 7.X
Diagnosing The Problem
重複したイベントがログ・アクティビティーで発見され、ユーザーが受信イベントが重複していないことを確認した場合、この問題が原因であるかどうかを診断する 1 つの方法は、各イベントのルールの一致を確認することです。
例えば、ある基準に基づいて新しいイベントを作成するグローバル・ルールがある場合、イベントプロセッサーがイベントを確認すると、そのルールに基づいて 2 つのイベントが作成されます。1 つはイベントプロセッサーから、もう 1 つはルールがグローバルであるため、コンソールから作成されます。
Resolving The Problem
イベントと相互作用するルールを確認し、変更を加えて重複を防ぎます。 これらの変更は、次の例に限定されるものではありません。:
- グローバル・ルールをローカル・ルールに設定する。
- いくつかの基準によってイベントに影響を与えないよう、そのルールをフィルタリングする。
- 新しいイベントを発生させないように、ルールのアクションを調整する。
結果
「ログ・アクティビティー」のページで、重複するイベントは見つからず、問題が解決しない場合は、 QRadar サポート にお問い合わせください。
Related Information
Document Location
Worldwide
[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwtrAAA","label":"Rules"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]
Was this topic helpful?
Document Information
Modified date:
15 November 2022
UID
ibm16837163