Question & Answer
Question
Answer
検索速度の低下は、QRadar が読み取るファイルまたは返す値が多数ある場合に発生します。
検索の速度が低下する理由
イベントまたはフローの検索は、Ariel サーバー上のディスク読み取り速度によって制限されます。検索が多数のファイルをターゲットにしている場合、検索が完了するまでの時間が長くなる可能性があります。検索の長さは、選択された時間枠と、受信するイベントの数によって異なります。また、ハードウェア・リソースも要因になります。サーバーを大きくすると、データを検索するリソースが増えます。負荷の高いサーバーでは、データの取得に時間がかかることがあります。
同じ検索で Groups By 列を多く使用すると、多数のエレメントが生成される可能性があります。これにより、tomcat で多くのリソースが消費され、検索が予想以上に長引くことがあります。インデックスを活用しない検索は、一致するものを見つけるために、データのすべての部分を読み取る必要があります。インデックスにはデータに含まれる固有の用語や、データの所在を示す参照情報が含まれているため、インデックスのプロパティを利用してフィルタリングを行うことで、検索の効率化を図ることができます。
他にどのような影響で検索が遅くなるのか
複数の検索を同時に実行すると、サーバー・パフォーマンスに影響するサーバー・リソースの競合が発生します。通常は高速な検索でも影響を受ける可能性があります。
大規模な検索や長い時間枠の検索(X日)をイベントをフィルタリングせずに実行すると、長い時間がかかり、多くのサーバーリソースを消費してしまいます。
検索時にフィルターを使用しないと、有益でない情報が多数返ってきて時間がかかるため、フィルターを使用することで結果を早くすることができます。さらに、これらのフィルターがインデックス化されたプロパティに基づいている場合は、より効果的です。
管理対象ホストとコンソールの間の帯域幅が十分ではない場合、検索ではコンソールにデータを送信するための高速接続が必要となります。詳細については、IBM 資料: 管理対象ホストの帯域幅に関する考慮事項 を参照してください。
システムが検索速度低下の影響を受けないようにするにはどのようにすればよいですか
Searching Your QRadar Data Efficiently のビデオは、より速く検索する方法や、フィルターやインデックスを使用する理由を理解するのに役立ちます。QRadar 用の検索のリソース制限を設定して、長時間実行される検索速度の低下を防ぐことができます。詳細については、IBM 資料: Restrictions to prevent resource-intensive searches を参照してください。
フィルターとインデックス付きフィールドを使用して検索を高速化すると、サーバーを介して検索されるデータの量が減少することができます。詳細については、IBM の資料: Searching Your QRadar Data Efficiently: Part 2 - Leveraging Indexed Values を参照してください。
システムが既に低速の場合、長い検索が実行されているかどうかを知ることができますか
- 管理ユーザーとして QRadar コンソールにログインします。
- 「ログ・アクティビティー」タブをクリックします。
- 「検索」>「検索結果の管理」をクリックします。
- 削除する検索結果を強調表示します。
- 「キャンセル」をクリックします。
重要: すべての構成をデプロイすると、サービスが再起動されます。サービスが再起動するまでイベント処理が停止します。進行中のスケジュール済みレポートは、ユーザーが手動で再始動する必要があります。厳密な停止ポリシーを持つ管理者は、組織のスケジュールされた定期メンテナンス期間中に次のステップを完了することをお勧めします。
- 管理ユーザーとして QRadar UI にログインします。
- 「管理」タブをクリックします。
- 「拡張」>「すべての構成のデプロイ」をクリックしてすべての検索が消去されます。
Related Information
Was this topic helpful?
Document Information
Modified date:
24 August 2021
UID
ibm16463931