IBM Support

QRadar: データ・ゲートウェイおよびイベント・コレクターのハードウェア機能 EPS/FPM しきい値の設定

News


Abstract

QRadar® 7.4.0 およびそれ以降では、Event Collector (15xx) および Data Gateway (7000) アプライアンスが受信するイベント・データによって対応不可になることを防ぐためにパフォーマンスの変更が含まれています。ハードウェアの使用可能な CPU とスレッドに基づいてアプライアンスを保護するために、新しいスロットルが導入されました。イベント・コレクターまたはデータ・ゲートウェイで、管理者が常にイベントが遅れやドロップしていることに気付いた際に、ハードウェアの性能を上げるか、ソフトウェアのパラメータを調整する必要がある場合があります。

Content

イベント・プロセッサー (EP) は、通常より高いハードウェア機能を備えており、これにより高いライセンス・レートを処理できます。イベント・コレクター (EC) は EP からのライセンス制限を受け継ぎますが、EC のハードウェアは EP よりも能力が低いため、通常のイベント・レートは EC で処理できるものより負荷が高くなり、EC 側のパフォーマンス問題が露呈します。
 15xx および 7000 アプライアンスの新しいしきい値の設定は、使用可能な CPU の数と割り当てられた構文解析スレッドの数に基づき計算された EC 機能を導入しています。
アプライアンス・タイプ CPU コア 推奨される RAM 全体の EPS
イベント・コレクター (15xx) 4 16 GB 1000
イベント・コレクター (15xx) 8 16 GB 7000
イベント・コレクター (15xx) 16 16 GB 7,500 - 17,000
データ・ゲートウェイ (7000) 8 16 GB
( QRadar 脆弱性マネージャーで 32GB )		 7,000
データ・ゲートウェイ (7000) 16 16 7,500 - 17,000
表 1: 仮想マシンに CPU /コアを追加したり、ハードウェアを更新したりしないと、EPS 全体のキャパシティーがライセンス・キャパシティーよりも低くなる場合があります。

 
アプライアンスのコアを判別する方法
管理者は以下のコマンドを使用して、アプライアンスの CPU コアの数を表示できます。
 lscpu
重要な注意事項
構文解析スレッド数は、QRadar® チューニング・スクリプトによって構成されます。CPU コアの数によっては、値が増加します。
それらの値の手動変更はサポートされておらず、該当のアプライアンスでパフォーマンス問題が発生する可能性があります。仮想環境では、管理者はハードウェア要件が EPS レートに適合していることを確認する必要があります。
 QRadar® イベント・コレクターの場合: 仮想アプライアンスのシステム要件
 QRoC データ・ゲートウェイの場合: データ・ゲートウェイのシステム要件
ゲートウェイまたはイベント・コレクター上で
  1. ハードウェアまたは仮想マシンのコアを更新します。
  2. SSH を使用し、root ユーザーとして QRadar コンソールにログインします。
  3. データ・ゲートウェイまたはイベント・コレクターへの SSH セッションを開きます。
  4. アプライアンスを再起動するには、「 reboot now 」と入力します。
  5. アプライアンスが再起動するまで待機します。

    結果:
    アプライアンスの再起動後、コアの数が更新されたことを確認するため、lscpu コマンドを使用します。管理者は、EPS を監視して、追加されたコアが問題を解決していることを確認できます。 
    [root@743EventProcessor ~]# lscpu
Architecture:          x86_64
CPU op-mode(s):        32-bit, 64-bit
Byte Order:            Little Endian
CPU(s):                40
On-line CPU(s) list:   0-39
Thread(s) per core:    2
Core(s) per socket:    10
Socket(s):             2
NUMA node(s):          2
Vendor ID:             GenuineIntel
CPU family:            6
Model:                 85
Model name:            Intel(R) Xeon(R) Silver 4210 CPU @ 2.20GHz
Stepping:              7
CPU MHz:               2200.000
BogoMIPS:              4400.00
Virtualization:        VT-x
L1d cache:             32K
L1i cache:             32K
L2 cache:              1024K
L3 cache:              14080K
NUMA node0 CPU(s):     0-9,20-29
NUMA node1 CPU(s):     10-19,30-39
Flags:                 fpu vme de pse tsc msr

[{"Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwtiAAA","label":"Performance"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"7.4.0;7.4.1;7.4.2"}]

Document Information

Modified date:
30 May 2022

UID

ibm16554142

Page Feedback