QRadar: Ariel Charts の最後で、イベントがない場合でもアクティビティが示されるのはなぜですか？

Question & Answer

Question

QRadar 検索機能を使用するとイベントがない場合でも Ariel Charts のグラフの最後にアクティビティが示されるのはなぜですか？ログ・アクティビティーにおいて、その時間に一致するイベントがない場合でもグラフの最後にピークが表示されることがあります。

Cause

グラフの最後の「ピーク」または「データ・ポイント」は、グラフの他のデータ・ポイントの平均結果です。

グラフのデータは間隔ごとに集計されますが、最終データ・ポイントの集計はまだ完了していません。その代わりに、最後のポイントではすべてのデータ・ポイントの平均値を取ることでそこでの値を「推測」します。

例えば、 75 分間のデータ (75 個のデータ・ポイント) がある場合、検索では始めからの 74 個分のデータ・ポイントの累積値が集計され、それがグラフに追加されます。

最終データ・ポイントである 75 分目はまだ計算されていないため、直前の 74 個分のデータ・ポイントの平均 EPS が表示されます。以前のすべての値の平均を示しているため、イベントが存在しない場合でも小さなピークが表示されることがあります。

動作を示すグラフの例 :

11:03 の最終データ・ポイントは、グラフの他の値の平均値です。

Note:

グラフ A は、 EPS フローを示しています。グラフが 0 となると想定すると、イベントが削除されたか、収集が停止したように見えます

グラフ B は、定数 0 の EPS を示しています。最終点が 0 を示します。

グラフ C は、最後に発生した頂点を示しています。最終データ・ポイントには以前の累積データ・ポイントの平均値が置かれます。

Answer

アプリケーションは設計通りに動作しています。グラフはデータの一般的な概要の一部であり、システムのイベント・ロードが正確に反映されない場合があります。平均値はグラフの最後で計算されることで、ユーザーはイベントの収集が突然失敗したという印象を与えられることがありません。 (0 が示された場合には、いきなり最終データ・ポイントがドロップしたように見えます。)

イベント・レート・グラフについての更なる情報は次のリンクを参照してください。

QRadar: Event Rate (EPS) graph may not reflect the entire event load on the system

Related Information

Why do Ariel Charts show activity at the end when there are no events?

[{"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Component":"ariel chart","Platform":[{"code":"PF016","label":"Linux"}],"Version":"7.3.x","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}}]

Product Synonym

QRadar; QRadar SIEM

Was this topic helpful?

Document Information

Modified date:
28 September 2020

UID

ibm16152139

Tips