QRadar: QRadar がイベントを処理するためにかかる時間について

Question & Answer

Question

AQL クエリを使用してイベント・コレクター ( 開始時刻 ) から Ariel データベース ( 保管時間 ) にイベントが処理されるまでにかかる時間を判別することができますか？

Answer

イベント・コレクターから Ariel データベース(イベント・パイプライン)にイベントが処理されるまでの時間を分析するには、 AQL クエリを使用して Ariel データベースと照らし合わせます。

QRadar コンソール GUI にログインします。
「ログ・アクティビティ」に移動します。
検索バーを拡張検索に設定します。
以下の AQL クエリをコピーし、検索バーに貼り付け後に Enter を押します。

  select logsourcename(logSourceId) as 'Log Source',DATEFORMAT("startTime",'YYYY-MM-dd HH:mm:ss') as 'Start Time',"endTime" - "startTime" as 'StorageDelay (s)', DATEFORMAT("endTime",'YYYY-MM-dd HH:mm:ss') as 'Storage Time',DATEFORMAT("deviceTime",'YYYY-MM-dd HH:mm:ss') as 'Log Source Time',QIDNAME(qid) as 'Event Name',"processorId" as 'Event Processor' from events order by "startTime" desc LIMIT 1000 last 5 minutes

注:

Start Time = イベントのQRadar イベント・コレクターでの処理開始時刻
Storage Time = イベントの Arial データベースへの保管時刻
Log Source Time = ログ・ソースでイベントが発生した時刻

Related Information

QRadar: How much time does it take to process an event in QRadar

QRadar: AQL Tutorial Part 1. Documentation and basic syntax

Time criteria in AQL queries

[{"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Component":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Versions","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}}]

Tips

QRadar: QRadar がイベントを処理するためにかかる時間について

Question & Answer

Question

Answer

Related Information

Was this topic helpful?

Document Information

UID

Share your feedback

Need support?