Troubleshooting
Problem
QRadar が「 connections were dropped by the event pipeline.(接続がイベント・パイプラインによって除去されました) 」と通知を表示します。
Symptom
Web ユーザー・インターフェース内で以下の通知を表示します:
[ecs-ec-ingress.ecs-ec-ingress] [TcpSyslog(0.0.0.0/514) Protocol Provider Thread: class
com.q1labs.semsources.sources.tcpsyslog.TcpSyslogProvider0] com.q1labs.semsources.sources.
tcpsyslog.TcpSyslogProvider: [WARN] [NOT:0000004000][{HOST}/- -] [-/- -]connectionsPerHost[10]
maximum [10] reached for host [/{LOG SOURCE IDENTIFIER}] ... dropping connection
Cause
システムが過負荷にならないようにするために通知されています。
Resolving The Problem
- 管理ユーザーとして QRadar コンソールにログインします。
- 「 管理 」タブ >「 システム設定 」>「 拡張ビュー 」の順にクリックします。
- 「 ホストあたりの TCP Syslog 最大接続数 」に移動します。
- 接続数を「 10 」から「 20 」に更新します。
注: この値は、必要に応じてさらに高く設定することができます。
重要:
全ての構成のデプロイまたは 収集サービスの実行はサービスが再起動されます。サービスの再起動は完了するまでの間、イベント処理が停止します。進行中のスケジュール済みレポートは、ユーザーが手動で再起動する必要があります。すぐに機器を停止させることが難しい管理者は、組織でスケジュールされた保守期間中に次のステップを完了させることを推奨します。 - 「 管理 」タブ >「 拡張 」>「 全ての構成のデプロイ 」の順にクリックし、実行します。
-
「 管理 」タブ >「 拡張 」>「 イベント収集サービスの再始動 」の順にクリックし、実行します。
Related Information
Document Location
Worldwide
[{"Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwt0AAA","label":"Log Source"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"7.4.2"}]
Was this topic helpful?
Document Information
Modified date:
07 August 2021
UID
ibm16436075