Troubleshooting
Problem
集約データ・ビューの制限に達した際にグラフやレポートで以下のエラーが発生します。
The aggregated data view could not be created due to an aggregated limit.
Diagnosing The Problem
集約データ・ビューは、レポートやダッシュボードを生成するために使用されるデータの集約バケットです。これらは、バックグラウンドで定期的にデータを蓄積する保存済み検索に基づきます。QRadar ではパフォーマンス上の理由で許可される集約データ・ビューの数に制限があります。QRadar 7.3以降では 300 個の集約データ・ビューを利用できます。
QRadar バージョン 7.3 以降では、コンソールで使用しているビューの数を確認することができます。ユーザーからこの問題が報告された場合、管理者がQRadar が使用している集約データ・ビューの数を確認することを推奨します。類似のデータを再利用する重複検索により無効にできる集約データ・ビューがないか、使用されていないデフォルトの集約データ・ビューがないかを確認してください。ほとんどの場合、認知されてないデフォルトのビューがあるか、必要のないデフォルトのビューがあります。
現在使用されている集約データ・ビューの数を判別するには、QRadar にログインして、システムで使用可能になっているビューの数を確認する必要があります。
Procedure
- 「管理」タブに移動します。
- 「集計データ管理」 をクリックします。
-
ユーザー・インターフェースより、現在有効になっている集約データ・ビューの数を確認します。以下の画像は、集約データ・ビューの総数 300 のうち、いくつのビューを使用しているかの表示例です。
Resolving The Problem
集約データ・ビューの制限に達している場合は、以下の手順で不要なビューを削除してください。
結果
ユーザーによって生成された新しい検索は、QRadar に集約データの値を再作成します。
- 管理ユーザーとして QRadar のユーザー・インターフェースにログインします。
- 「管理」タブをクリックします。
- 「集計データ管理」アイコンをクリックします。
- 以下のいずれかの基準で削除可能な有効なビューを見つけます。 レポート名、グラフ名、保存済み検索名、または検索回数フィールドを使用します。
- ビューを選択します。
- 以下のいずれかの選択肢を検討します。
- ビューを無効にする (推奨): 集約データ・ビューを無効にすると、ユーザーが既存の集約データに対して実行する必要があるヒストリカル検索やレポートのためにデータがそのまま残されますが、ビューに新しい情報が蓄積されることはありません。つまりこの選択肢は、ビューを無効にしたときに現在の状態を維持して、使用される集約データ・ビューのカウントを最大ビューの制限から 1 つ減らすことができます。
- ビューの削除 : 集約データ・ビューを削除することで、蓄積された既存のデータが削除され、集約データ・ビューのカウントが減ります。
- ビューを無効にする (推奨): 集約データ・ビューを無効にすると、ユーザーが既存の集約データに対して実行する必要があるヒストリカル検索やレポートのためにデータがそのまま残されますが、ビューに新しい情報が蓄積されることはありません。つまりこの選択肢は、ビューを無効にしたときに現在の状態を維持して、使用される集約データ・ビューのカウントを最大ビューの制限から 1 つ減らすことができます。
- ユーザーは、表示された QRadar 依存関係 ( 検索、レポート、ダッシュボード ) のリストを確認して、集約データが削除された影響でグラフが表示されなくなった検索およびレポートの有無を把握できます。( この手順の実施は任意です。 )
- OKをクリックします。
結果
ユーザーによって生成された新しい検索は、QRadar に集約データの値を再作成します。
Related Information
[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwtIAAQ","label":"Dashboard"},{"code":"a8m0z000000cwtmAAA","label":"Reports"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Versions"}]
Was this topic helpful?
Document Information
Modified date:
26 May 2022
UID
ibm16525228