イベントは直接ストレージに経路指定された

説明

キューがいっぱいになるのを防止し、システムがイベントを除去するのを防止するため、イベント・コレクション・サーバー (ECS) はデータをストレージに経路指定します。 受信イベントとフローは、分類されません。 ただし、生のイベントとフロー・データは、収集され、検索できます。

ユーザーの対応

以下の選択肢を確認してください。

• 受信イベントとフローのレートを確認してください。 イベント・パイプラインがイベントをキューに入れている場合、より多くのデータを保持するようにライセンス内容を拡張してください。 EPS/FPM ライセンス制限にどれくらい近づいているかを判別するために、「システム・モニター」ダッシュボードの「イベント・レート (1 秒あたりのイベント数 (未加工))」グラフをモニターします。 グラフには、現在のデータ・レートが表示されます。 データ・レートを、デプロイメント内のアプライアンスごとのライセンス構成と比較してください。

  EPS/FPM ライセンス制限について詳しくは、QRadar: About EPS & FPM Limits (https://www.ibm.com/support/pages/qradar-about-eps-fpm-limits) を参照してください。

• ルールやカスタム・プロパティーに対する最近の変更を確認してください。 ルールやカスタム・プロパティーの変更によって、イベントやフローのレートが変わることがあります。 変更により、パフォーマンスに影響が及んだり、システムがイベントをストレージに経路指定したりする可能性があります。
• DSM 解析の問題により、イベント・データがストレージに経路指定される可能性があります。 ログ・ソースが公式にサポートされていることを確認するには、「DSM Configuration Guide」を参照してください。
• SAR 通知が、キューに入れられたイベントおよびフローがイベント・パイプラインにあることを示す場合があります。
• イベント・パイプラインに入るイベントとフローの量を削減するようにシステムをチューニングしてください。 イベントは、製品内ではなく、ソースでチューニングする必要があります。 統合をオンに設定し、保存バケットを構成して、保管されるイベントの数を制限できます。 ライセンス・スロットルはシステムに対する着信イベントの数をモニターし、入力キューとライセンスを管理します。 保存バケットについて詳しくは、「管理ガイド」を参照してください。