How To
Summary
この記事では、ログ・アクティビティーで検索するための AQL 照会がどこに表示されているのか、データ・エクスポートが開始されたか、実行中であるか、スペース不足で行き詰まっているかどうか、などを確認する方法をご説明します。
Steps
ログ・アクティビティーで検索の AQL 照会を見つける方法
- QRadar ユーザー・インターフェースにログインします。
- 「ログ・アクティビティー」に移動します。
- 保存済み検索をロードします。
- 「検索」、「検索の編集」の順にクリックします。
- 「AQL の表示」をクリックすると、新しいウィンドウが表示され、そのウィンドウには検索の AQL が表示されます。
結果
管理者は、ログ・アクティビティー検索の AQL を取得できます。
GUI エクスポートがバックグラウンドで開始されるかどうかを確認する方法
- QRadar コンソールに SSH で接続します。
- 次のコマンドを実行します。
grep "Initiating EventViewer" /var/log/qradar.log
出力例 :[INFO] Initiating EventViewer data export requested by admin, job is assigned id <job id>
結果
管理者は、Initiating EventViewer data export requested by admin ログによって、エクスポートの開始を確認できます。
エクスポートが完了したかどうかを確認する方法
- QRadar コンソールに SSH で接続します。
- 次のコマンドを実行します。
grep "user admin is complete" /var/log/qradar.log
[INFO] Export job <job id> for user admin is complete
結果
管理者は、データのエクスポートが完了したことを確認できます。
バック・エンドでエクスポートが実行されているかどうかを確認する方法
- QRadar コンソールに SSH で接続します。
- 次のコマンドを実行します。
grep "Backgrounding export job" /var/log/qradar.log
出力例 :[INFO] Backgrounding export job 5ba02cf2-309e-1234-1234-1532dc8772e4 for user <user>
結果
管理者は、検索がバックグラウンドで実行されていることを確認できます。
スペース不足でエクスポートが行き詰まっているかどうかを確認する方法
ファイルは /store/tmp/ に作成されます。 パーティション /store/tmp/. のスペースを確認してください。 このパーティションが 85% より高い場合、エクスポートは完了せず、中断されます。
以下の手順で、/store/tmp/ の使用可能なスペースを確認します。
- QRadar コンソールに SSH で接続します。
- 次のコマンドを実行します。
df -h /store/tmp
出力例 :# df -h /store/tmp Filesystem Size Used Avail Use% Mounted on /dev/mapper/rootrhel-storetmp 15G 37M 15G 1% /storetmp
使用率が 85% を超えると、ディスク・スペース不足でエクスポートが失敗します。
結果
管理者は、エクスポートを完了するために十分なスペースが /store/tmp/ にあることを確認できます。 ディスク・スペースが十分でない場合は、使用可能なディスク・スペースを増やしてください。
ディスク・スペースについの詳しい情報は、次のリンクから確認してください。
Disk Space 101
Related Information
Document Location
Worldwide
[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwsyAAA","label":"Admin Tasks"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Versions"}]
Was this topic helpful?
Document Information
Modified date:
26 February 2023
UID
ibm16953051