Question & Answer
Question
アノマリー・ディテクション・エンジン ( ADE ) および カスタム・ルール・エンジン ( CRE ) のログ・ソースが、エラー状態になるのはなぜでしょうか? CRE ログ・ソースがエラー状態である場合は、CRE が機能していないことを意味しますか?
Answer
QRadar® ログ・ソースが 720 分間 ( 12 時間) イベントを受信しない場合、自動的にイベントがエラー状態になります。
カスタム・ルール・エンジン ( CRE ) ログ・ソースは、CRE によって作成されたイベントを構文解析するためにのみ使用されます。 (通常はルール・レスポンスとして使用します。) アノマリー・ディテクション・エンジン ( ADE ) ログ・ソースは、 ADE ルールがトリガーする時のレスポンスとして生成されるイベントにのみ使用されます。
該当のログ・ソースは、特にわずか毎秒あたりのイベント ( EPS ) によるテスト・システムやシステム上で 12 時間のイベントを受信しない可能性があります。特にアノマリー・ディテクション・ルールがテストされていない、またはプロダクション・システムではない場合、ADE ログ・ソースがイベントを取得しない可能性があります。該当のログ・ソースが過去 12 時間にイベントを受信したかどうかを確認するには、「 Log Activity 」タブで検索を実行します。
CRE ログ・ソースがエラー状態になっていることは、必ずしも CRE が機能していないことを意味するわけではありません。いずれかのカスタム・ルールの場合、ルール・レスポンスの 1 つは新規インターナル・イベントをディスパッチすることです。 CRE ログ・ソースは、インターナル・イベントを構文解析するログ・ソースです。従って、このログ・ソース上のイベントの欠落は、以下にある 1 つまたはそれ以上の要因によって引き起こされる可能性があります:
- QRadar システムによって受信されるイベントがない。
- イベントは受信されているが、ルールをトリガーしていない。
- ルールはトリガーされているが、レスポンスが新規イベントを生成するように設定されていない。
CRE が実行されているかどうかを確認する方法は、SSH セッションでコンソールにログインして、以下のコマンドを実行します:
/opt/qradar/support/threadTop.sh -p 7799 -e "CRE Processor"
このコマンドを実行すると、現在実行中の CRE のスレッドのリストが出力されます。1 つまたはそれ以上のスレッドが表示される場合は、 CRE が実行していることを示す良い指標となります。
System Time: 12/11/2020 at 23:06:38.259
Server ID MSecs Name
-------------- ----- ----- ------------------------------------------
7799 161 3 CRE Processor [1]
7799 162 1 CRE Processor [2]
7799 156 1 CRE Processor [0]
7799 163 0 CRE Processor [3]
-------------- ----- ----- ------------------------------------------
5 Total (5/2000)
Related Information
[{"Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwt0AAA","label":"Log Source"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Version(s)"}]
Was this topic helpful?
Document Information
Modified date:
31 March 2021
UID
ibm16374596