Troubleshooting
Problem
カスタム・ドメインのフィルターに一致するイベントが、Default Domain 内に表示されてしまう。
Symptom
「イベントが直接ストレージに経路指定されました」という通知が表示されると同時に、 Low-Level カテゴリーの Stored として Default Domain で表示されます。
イベントが受信されたイベント・コレクターの qradar.error 内に、以下のようなエラーが記録されます。
イベントが受信されたイベント・コレクターの qradar.error 内に、以下のようなエラーが記録されます。
com.ibm.si.ec.filters.normalize.DSMFilter: [WARN] [NOT:0080004101][xxx.xxx.xxx.xxx/- -] [-/- -]Device Parsing has sent a total of 18603 event(s) directly to storage. 18603 event(s) have been sent in the last 60 seconds. Queue is at 99 percent capacity.
Cause
イベントは、イベント・パイプラインの Device Parsing ステージでドメインに割り当てられます。
このパイプラインの Device Parsing ステージがバックアップされている、または実行されるのが遅い場合、イベントはパイプライン内のさらなるバックアップを回避するために 「直接ストレージに経路指定」されます 。
イベントが 「直接ストレージに経路指定された」場合、イベントは Device Parsing ステージを完全にバイパスし、カスタム・ドメインに割り当てられません。
このパイプラインの Device Parsing ステージがバックアップされている、または実行されるのが遅い場合、イベントはパイプライン内のさらなるバックアップを回避するために 「直接ストレージに経路指定」されます 。
イベントが 「直接ストレージに経路指定された」場合、イベントは Device Parsing ステージを完全にバイパスし、カスタム・ドメインに割り当てられません。
Resolving The Problem
Device parsing をバイパスする時に発生するイベントが Default Domain に割り当てられた場合は、QRadar® がイベントにドメイン情報を割り当てて、構文解析されたフィールド情報を使用するため、予期される動作です。
イベント・パイプラインの Device parsing ステージをバイパスして、イベントのさらなるインスタンスを防ぐ、または最低限に抑えるには、パフォーマンス低下の根本原因を調査および対処する必要があります。
イベント・パイプラインの Device parsing ステージをバイパスして、イベントのさらなるインスタンスを防ぐ、または最低限に抑えるには、パフォーマンス低下の根本原因を調査および対処する必要があります。
パフォーマンス低下のトラブルシューティングの詳細については、「イベントは直接ストレージに経路指定された」をご参照ください。
Related Information
Document Location
Worldwide
[{"Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwtEAAQ","label":"Log Activity"},{"code":"a8m0z000000cwtiAAA","label":"Performance"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Version(s)"}]
Was this topic helpful?
Document Information
Modified date:
05 April 2021
UID
ibm16394322