How To
Summary
この技術文書では、 QRadar® システムの CPU がバインドされる、あるいは過負荷であるかどうかを判別するため、負荷の平均値 ( ロードアベレージ ) をモニターおよび確認する方法について説明します。
ロードアベレージは、 CPU が常時処理しているタスクおよびプロセスの負荷平均値を表示します。すべてのシステム・ロードアベレージは、 QRadar® あるいは管理対象ホストが行うデプロイメントおよびタスクや処理に応じて異なります。例えば、一部の平均値がビジーになっていて、その他がアイドル状態である場合は、ロードアベレージはシステムの要求に依存します。
Objective
この技術文書は、ユーザーが CPU ロードアベレージをチェックおよびモニターするのに役立ちます。 QRadar の CLI で CPU ロードアベレージの統計をモニターできます。過去の CPU 負荷平均値をある期間にわたって比較したり、現在のロードアベレージから対処しなければならない可能性のある傾向を識別することができます。
システム・ロードアベレージは、システム・パフォーマンスが低下し始める時にチェックが必要です。例えば、イベント・パイプライン、検索、イベント処理、または UI の各動作が遅くなるかハングしていることでパフォーマンスの低下に気付くことがあります。
システム・ロードアベレージは、システム・パフォーマンスが低下し始める時にチェックが必要です。例えば、イベント・パイプライン、検索、イベント処理、または UI の各動作が遅くなるかハングしていることでパフォーマンスの低下に気付くことがあります。
重要 : ロードアベレージ値が割り当てられている CPU の数よりも大きい場合は、パフォーマンスの事象に直面する可能性があります。例えば、 CPU の負荷平均値 30 は 64 の CPU システムにとって大きな問題ではないですが、 16 の CPU ボックスに対して負荷平均値 30 であると、パフォーマンス事象の原因となる可能性があります。
Steps
1. QRadar システムに割り当てられている CPU の数を確認するには、下記のコマンドを実行します。
cat /proc/cpuinfo | grep "model name" | wc -l
[root@console~]# cat /proc/cpuinfo | grep "model name" | wc -l
56
[root@console~]#
あるいは、「 lscpu 」コマンドを実行しても、 CPU の数 [ CPU(s) ] を参照できます。
[root@console ~]# lscpu
Architecture: x86_64
CPU op-mode(s): 32-bit, 64-bit
Byte Order: Little Endian
CPU(s): 56
On-line CPU(s) list: 0-55
Thread(s) per core: 2
Core(s) per socket: 14
Socket(s): 2
NUMA node(s): 2
Vendor ID: GenuineIntel
CPU family: 6
Model: 79
Model name: Intel(R) Xeon(R) CPU E5-2690 v4 @ 2.60GHz
Stepping: 1
CPU MHz: 3199.853
CPU max MHz: 3500.0000
CPU min MHz: 1200.0000
BogoMIPS: 5199.73
Virtualization: VT-x
L1d cache: 32K
L1i cache: 32K
L2 cache: 256K
L3 cache: 35840K
NUMA node0 CPU(s): 0-13,28-41
NUMA node1 CPU(s): 14-27,42-55
2. 現在のロードアベレージを確認するには、「 uptime 」コマンドを使用します。
$ uptime
17:48:24 up 4:11, 1 user, load average: 19.25, 21.40, 23.46
ロードアベレージは、 1 分の平均値、 5 分の平均値、および 15 分の平均値の 3 つのメトリックを使用します。
3. ロードアベレージに関するライブ情報を確認するには、「 top 」コマンドを使用します。
top - 12:57:55 up 136 days, 3:30, 2 users, load average: 98.48, 102.69, 109.14
Tasks: 931 total, 69 running, 862 sleeping, 0 stopped, 0 zombie
%Cpu(s): 76.7 us, 21.6 sy, 1.2 ni, 0.0 id, 0.0 wa, 0.0 hi, 0.6 si, 0.0 st
前述のシナリオで、このボックスは 16 の CPU コアがあり、 1 分の平均値が 98.48 、直近 5 分の平均値は 102.69 、直近 15 分の平均値は 109.14 になっています。 16 の CPU コアには負荷が多すぎるため、システムにパフォーマンスの事象が表示される可能性があります。
4. 過去のロードアベレージ値をチェックします。収集されたパフォーマンス・データは、 /var/log/sa/ 配下にあります。
[root@qradar_box]# ls /var/log/sa/sa*
/var/log/sa/sa01 /var/log/sa/sa09 /var/log/sa/sa18 /var/log/sa/sa26 /var/log/sa/sar03 /var/log/sa/sar12 /var/log/sa/sar20 /var/log/sa/sar28
/var/log/sa/sa02 /var/log/sa/sa10 /var/log/sa/sa19 /var/log/sa/sa27 /var/log/sa/sar04 /var/log/sa/sar13 /var/log/sa/sar21 /var/log/sa/sar29
/var/log/sa/sa03 /var/log/sa/sa12 /var/log/sa/sa20 /var/log/sa/sa28 /var/log/sa/sar05 /var/log/sa/sar14 /var/log/sa/sar22 /var/log/sa/sar30
/var/log/sa/sa04 /var/log/sa/sa13 /var/log/sa/sa21 /var/log/sa/sa29 /var/log/sa/sar06 /var/log/sa/sar15 /var/log/sa/sar23 /var/log/sa/sar31
/var/log/sa/sa05 /var/log/sa/sa14 /var/log/sa/sa22 /var/log/sa/sa30 /var/log/sa/sar07 /var/log/sa/sar16 /var/log/sa/sar24
/var/log/sa/sa06 /var/log/sa/sa15 /var/log/sa/sa23 /var/log/sa/sa31 /var/log/sa/sar08 /var/log/sa/sar17 /var/log/sa/sar25
/var/log/sa/sa07 /var/log/sa/sa16 /var/log/sa/sa24 /var/log/sa/sar01 /var/log/sa/sar09 /var/log/sa/sar18 /var/log/sa/sar26
/var/log/sa/sa08 /var/log/sa/sa17 /var/log/sa/sa25 /var/log/sa/sar02 /var/log/sa/sar11 /var/log/sa/sar19 /var/log/sa/sar27
各ファイルは、その月の日付を表します。例えば、 sa01 は月の初日、 sa02 は月の 2 日目、 そして 30 あるいは 31 は月の最終日を示します。各出力は 1 日ごと、および各時間 10 分ごとに報告します。月が終了する時、完了した各日付が新しく収集されたデータとして上書きされます。これらは過去 30 日間の履歴のみ参照できます。
ファイルの読み取りコマンドは下記となります :
sar -q -f /var/log/sa[day of the month]
この出力では、メトリックにフォーカスします。
- ldavg-1 : 直近 1 分間のロードアベレージ
- ldavg-5 : 直近 5 分間のロードアベレージ
- ldavg-15 : 直近 15 分間のロードアベレージ
[root@qradar_box~]# sar -q -f /var/log/sa/sa10
Linux 3.10.0-1062.1.1.el7.x86_64 (qradar_box) 08/10/2020 _x86_64_ (16 CPU)
12:00:01 AM runq-sz plist-sz ldavg-1 ldavg-5 ldavg-15 blocked
12:10:01 AM 9 2569 1.06 1.71 1.87 0
12:20:01 AM 10 2543 0.79 1.15 1.51 0
12:30:01 AM 5 2543 1.12 1.60 1.68 0
12:40:01 AM 18 2555 1.15 1.09 1.37 0
12:50:01 AM 17 2555 2.06 1.58 1.46 0
01:00:01 AM 11 2556 0.74 1.39 1.53 0
01:10:01 AM 3 2545 1.98 2.56 2.35 0
01:20:01 AM 5 2548 0.97 1.98 2.18 0
01:30:01 AM 8 2542 2.67 2.14 2.05 0
01:40:01 AM 3 2555 0.95 1.66 1.98 0
01:50:01 AM 16 2565 1.74 1.55 1.76 0
02:00:02 AM 22 2571 20.54 8.94 4.49 0
Average: 12 2555 3.05 3.58 3.66 0
あるいは、下記のコマンドで 1 画面ずつ表示できます。
sar -q -f /var/log/sa/10 | less
今回のログのサンプルのように、ロードアベレージを比較することでシステム全体の CPU 負荷およびパフォーマンスを確認できます。
Additional Information
Related Information
Document Location
Worldwide
[{"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwtiAAA","label":"Performance"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Version(s)","Line of Business":{"code":"LOB24","label":"Security Software"}}]
Was this topic helpful?
Document Information
Modified date:
30 November 2020
UID
ibm16336793