フローのキャパシティー制限
フローのキャパシティー制限は、IBM QRadar の QFlow プロセスが過負荷にならないようにするものです。
QFlow プロセスが処理できる量より多くのトラフィックを受信すると、超過トラフィックで監視されるプロトコルごとにオーバーフロー・レコードが作成されます。 これらのレコードは送信元 IP アドレス 127.0.0.4 と宛先 IP アドレス 127.0.0.5 が含まれているため、特定が容易です。
例えば、 QRadar は、 フロー・コレクター のフロー・キャパシティー制限が 100,000 フローであると判断します。 ピーク期間中、このアプライアンスが 1 分間の間隔で 120,000 フローをキャプチャーします。 超過の 20,000 フローは解析されませんが、代わりに、その 20,000 フローで観察されたプロトコルごとに、オーバーフロー・レコードが作成されます。 オーバーフロー・レコードには、バイト・カウンターとパケット・カウンターが含まれますが、送信元 IP アドレスと宛先 IP アドレス、ポート、ペイロード・キャプチャーなどの情報は収集されず保管されません。
フローのキャパシティー制限
フローのキャパシティーは、以下のさまざまな要因に基づいて決定されます。
- デプロイメント・フロー制限
- このフロー制限は、デプロイメント全体でのすべてのフロー・ライセンスの合計数に基づきます。
- ハードウェア・フロー制限
- ハードウェア・フロー制限は、使用可能な CPU とメモリーに基づいて計算される推奨フロー数です。
- ユーザー・フロー制限
- QRadar に一度に処理させるフローの最大数を設定できます。
ユーザー・フロー制限が設定されている場合は、ユーザー・フロー制限がデプロイメント・フロー制限およびハードウェア制限の両方よりも優先されます。
ユーザー制限が設定されていない場合は、ハードウェア制限またはデプロイメント制限の最小値が使用されます。
注: フロー/分 (FPM) ライセンスの利点を最大限に活用するために、集約後にフロー・キャパシティー制限が適用されます。 1 分間のレポート間隔内の既存のフローへの更新は、FPM ライセンス制限に反映されません。