Question & Answer
Question
一部のURL を含む Windows イベントやファイアウォールイベントなどのサイズが大きなイベントは、 TCP のペイロードの上限に達したため、切り捨てられています。
TCP の最大ペイロードサイズを増やすにはどうすればよいですか?
Answer
このビデオは、管理者が TCP Syslog ペイロードの制限を調整する方法を支援することを目的としています。
このビデオはドキュメントを代用するものではありませんが、手順を強調することでインストールに関する管理者の方への解説や注意喚起のためにご提供しています。
以下の手順で、TCP Syslog の最大ペイロードサイズを設定変更できます。
手順
- コンソールに管理者としてログインします。
- 「管理」タブをクリックします。
- 「システム設定」アイコンをクリックします。
- 「拡張」をクリックします。
- 「System Settings」 パネルから、 Max TCP Syslog Payload Length の値を更新します。
非常に大きなペイロード値はイベント・パイプラインのパフォーマンスに影響する可能性があるため、 QRadar サポートは最大値を 8,192 バイトに設定することを推奨しています。 サポートと会話することなく、 TCP ペイロード長の値を 8,192 バイトより大きく設定することは推奨されません。 - 「保存」をクリックします。
重要 :「すべての構成のデプロイ」を実行すると、QRadar アプライアンス上のすべてのサービスが再開されます。「すべての構成のデプロイ」は進行中のレポートを停止するため、 ユーザーはこのアクションを実行する前にレポートが実行されているかどうかを確認し、必要に応じてレポートを手動で再起動する必要があります。 この手順では、サービスの再起動中にすべてのアプライアンスでイベントとフロー収集を一時的に停止します。メンテナンス時間にこの変更を行うことをお勧めします。 - 「管理」タブで、「拡張」 > 「すべての構成のデプロイ」をクリックします。
- 「続行」をクリックして、フルデプロイプロセスが開始されます。
結果
デプロイが完了すると、すべての QRadar アプライアンスが新しい最大 TCP ペイロードサイズを受け入れるように更新されます。これは QRadar のグローバル設定です。したがって、すべての管理対象ホストに、より大きな TCP ペイロード長を受け入れるための変更が送信されます。すべての管理対象ホストのペイロードは、 8,192 バイトを超えない限り、値を切り捨てません。
さらなるトラブルシューティング
引き続き問題が発生する場合は、イベントのペイロードを確認する必要があります。イベントのペイロードに制御文字または改行文字がある場合は、 QRadar の設定に関係なくペイロードが分割されます。ログ・ソース拡張機能が使用されている場合、ログ・ソース拡張によりペイロードが切り捨てられる問題が発生する可能性があります。それ以外の場合は、管理者は最新の DSM を使用してイベントのペイロードを解析していることを確認し、 QRadar に取り込むイベントの提供元アプライアンスのバージョンは DSM 設定ガイドのサポートするバージョンのインデックスリストに存在することを確認する必要があります。
QRadar に関する情報は以下のリンクからも確認できますのでご参照ください。
Related Information
Was this topic helpful?
Document Information
Modified date:
27 February 2019
UID
ibm10730139