IBM Support

QRadar: パフォーマンスの低下した際にイベントが誤って Default Domain に割り当てられる事象について

Troubleshooting


Problem

カスタム・ドメインのフィルターに一致するイベントが、Default Domain 内に表示されてしまう。

Symptom

イベントが直接ストレージに経路指定されました」という通知が表示されると同時に、 Low-Level カテゴリーの Stored として Default Domain で表示されます。

イベントが受信されたイベント・コレクターの qradar.error 内に、以下のようなエラーが記録されます。
com.ibm.si.ec.filters.normalize.DSMFilter: [WARN] [NOT:0080004101][xxx.xxx.xxx.xxx/- -] [-/- -]Device Parsing has sent a total of 18603 event(s) directly to storage. 18603 event(s) have been sent in the last 60 seconds.  Queue is at 99 percent capacity.

Cause

イベントは、イベント・パイプラインの Device Parsing ステージでドメインに割り当てられます。
このパイプラインの Device Parsing ステージがバックアップされている、または実行されるのが遅い場合、イベントはパイプライン内のさらなるバックアップを回避するために 「直接ストレージに経路指定」されます 。
イベントが 「直接ストレージに経路指定された」場合、イベントは Device Parsing ステージを完全にバイパスし、カスタム・ドメインに割り当てられません。

Resolving The Problem

Device parsing をバイパスする時に発生するイベントが Default Domain に割り当てられた場合は、QRadar® がイベントにドメイン情報を割り当てて、構文解析されたフィールド情報を使用するため、予期される動作です。

イベント・パイプラインの Device parsing ステージをバイパスして、イベントのさらなるインスタンスを防ぐ、または最低限に抑えるには、パフォーマンス低下の根本原因を調査および対処する必要があります。
パフォーマンス低下のトラブルシューティングの詳細については、「イベントは直接ストレージに経路指定された」をご参照ください。

Document Location

Worldwide

[{"Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwtEAAQ","label":"Log Activity"},{"code":"a8m0z000000cwtiAAA","label":"Performance"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Version(s)"}]

Document Information

Modified date:
05 April 2021

UID

ibm16394322