Troubleshooting
Problem
この技術文書では、' Accumulator out of memory ' または 'Accumulator falling behind ' のエラー・メッセージが表示されたときに、大きな保存済み検索やレポートを実行する方法について説明します。
Symptom
この問題が発生すると、QRadar は以下のエラー・メッセージのいずれかを生成します。
- Accumulator out of memory ( ダッシュボード通知 )
- Accumulator falling behind ( システム通知 )
- The accumulator dropped records ( システム通知 )
Cause
これらのメッセージのは、カテゴリーによるグループ化が多すぎるか、開始時刻やソース・ポートなどの多くのリソースを使用する列を使用していることが原因で発生します。 このような列では多くのユニークな値が生成されます。
Diagnosing The Problem
エラー・メッセージが頻繁に発生しない場合は、メッセージを無視することができます。
Resolving The Problem
検索またはレポートの実行時にこれらのエラー・メッセージが表示された場合は、以下のことを試してください。
- 検索する列の数を減らしてください。
- ソース・ポートまたは開始時刻などの固有値を生成する検索のフィールドの数を減らしてください。
手順
- QRadar コンソールにログインします。
- ログ・アクティビティータブをクリックします。
- カラムから、開始時刻または送信元ポートなどのフィールドを選択します。
- 値を削除するには、< アイコンをクリックします
- 検索結果を保存するには、以下の2つの例のいずれかを使用します。
- 結果の保存のチェック・ボックスをクリックして、検索名を追加して検索をクリックします。
- 検索をクリックし、ナビゲーション・バーから 「条件を保存」 をクリックします。
- OKをクリックします。
- 結果の保存のチェック・ボックスをクリックして、検索名を追加して検索をクリックします。
QRadar に関する情報は以下のリンクからも確認できますのでご参照ください。
Related Information
[{"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Component":"Log Activity","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"Version Independent","Edition":"All Editions","Line of Business":{"code":"LOB24","label":"Security Software"}},{"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Component":" ","Platform":[{"code":"","label":""}],"Version":"","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}}]
Was this topic helpful?
Document Information
Modified date:
20 November 2018
UID
ibm10728783