フローのキャパシティー制限

フローのキャパシティー制限は、IBM QRadarQFlow プロセスが過負荷にならないようにするものです。

QFlow プロセスが処理できる量より多くのトラフィックを受信すると、超過トラフィックで監視されるプロトコルごとにオーバーフロー・レコードが作成されます。 これらのレコードは送信元 IP アドレス 127.0.0.4 と宛先 IP アドレス 127.0.0.5 が含まれているため、特定が容易です。

例えば、 QRadar は、 フロー・コレクター のフロー・キャパシティー制限が 100,000 フローであると判断します。 ピーク期間中、このアプライアンスが 1 分間の間隔で 120,000 フローをキャプチャーします。 超過の 20,000 フローは解析されませんが、代わりに、その 20,000 フローで観察されたプロトコルごとに、オーバーフロー・レコードが作成されます。 オーバーフロー・レコードには、バイト・カウンターとパケット・カウンターが含まれますが、送信元 IP アドレスと宛先 IP アドレス、ポート、ペイロード・キャプチャーなどの情報は収集されず保管されません。

フローのキャパシティー制限

フローのキャパシティーは、以下のさまざまな要因に基づいて決定されます。
デプロイメント・フロー制限
このフロー制限は、デプロイメント全体でのすべてのフロー・ライセンスの合計数に基づきます。
ハードウェア・フロー制限
ハードウェア・フロー制限は、使用可能な CPU とメモリーに基づいて計算される推奨フロー数です。
ユーザー・フロー制限
QRadar に一度に処理させるフローの最大数を設定できます。

ユーザー・フロー制限が設定されている場合は、ユーザー・フロー制限がデプロイメント・フロー制限およびハードウェア制限の両方よりも優先されます。

ユーザー制限が設定されていない場合は、ハードウェア制限またはデプロイメント制限の最小値が使用されます。

注: フロー/分 (FPM) ライセンスの利点を最大限に活用するために、集約後にフロー・キャパシティー制限が適用されます。 1 分間のレポート間隔内の既存のフローへの更新は、FPM ライセンス制限に反映されません。