Question & Answer
Question
「システム・モニター」ダッシュボード上のQRadar 「イベント・レート(EPS)」グラフは、その値をどのようにして得ていますか?
Cause
QRadarは、イベント・パイプラインに沿ってさまざまな場所でイベント・レートを報告します。これにより、システム上の実際のイベント負荷とライセンスに関する疑問が混乱する可能性があります。
Answer
QRadarの「イベント・レート(EPS)」ダッシュボードグラフ
「システム・モニター」ダッシュボードのQRadar 「イベント・レート(EPS)」グラフは、データが処理フェーズ(ECS-EP)に入る前のイベント・パイプラインのECS-EC部分の最後のコンポーネントである StatFilter のデータから値を取り出します。StatFilter 値が計算される前に、ルーティング・ルールとライセンスコンポーネントが両方とも処理するため、「イベント・レート(EPS)」グラフにプロットされた値には、イベントパイプラインからのルーティング・ルールによってドロップされたイベント等のデータは含まれません。これは、ルーティング・ルールを使用してイベントを削除する管理者からのよくある質問ですが、意図的に削除された不要なイベントは、デフォルトのダッシュボード・グラフにグラフの生成に使用されるデータとして反映されません。
図1:グラフの基となっている検索結果を表示するには、View in Log Activityをクリックします。
イベント・レート(EPS)グラフは、ウィジェット内の「View in Log Activity」リンクをクリックしてアクセスできる検索に基づいています。ログ・アクティビティ・タブのイベント・レート(EPS)検索の結果を確認すると、検索で QRadar システム通知のペイロードに StatFilter というフレーズが含まれているフィルタが使用されていることがわかります。
図2:QRadarでグラフ化されたデータを構成する検索フィルタ
QRadarでStatFilterの情報はどこにありますか?
QRadar システム通知は、QRadar アプライアンスの /var/log/ ディレクトリにある qradar.log ファイルに基づいています。実際の通知自体を表示するには、コンソールから管理対象ホストに SSHセッションを開き、次のコマンドを実行します。
grep StatFilter /var/log/qradar.log
管理者はキーワード StatFilter をイベント・レート通知を表示するために使用できます。 StatFilter 通知で報告される情報は、図1および図2のグラフを生成するために使用されます。
結果には、次の形式の行が多数含まれます。
Jun 12 16:03:09 ::ffff:172.16.xxx.xxx [ecs-ec] [type=com.q1labs.semsources.filters.stat.StatFilter][parent=Lab-primary.q1labs.lab:ecs-ec/EC/Processor2]] com.q1labs.semsources.filters.stat.StatFilter: [INFO] [NOT:0000006000][172.16.xx.xx/- -] [-/- -] Events per second: 1s:5094,5094 (peak 7423,7423) (compression: 0%) 5s:5040,5040 (peak 5507,5507) (compression: 0%) 10s:5045,5045 (peak 5269,5269) (compression: 0%) 30s:5043,5043 (peak 5120,5120) (compression: 0%) 60s:5034,5034 (peak 5079,5079) (compression: 0%)
重要:Baseline Maintenance Extension for QRadar により StatFilter 通知をパースするために使用される正規表現が強化されました。QRadar 7.2.6 以降の管理者は、コンソールに Baseline Maintenance Extension をダウンロードしてインストールする必要があります。 StatFilter を使用するための正規表現を更新しました: +1s\:\d+\,\d+ \(peak \d+\,(\d+)
実際のイベント統計を表示する方法
同じログファイルにある SourceMonitor の値を同様に確認することで、ライセンスと転送前のイベント・レートを取得することもできます。この値は、イベント処理パイプライン前のイベント・レートを反映しています。
SourceMonitor の値を表示するには、次のように入力します。
grep SourceMonitor /var/log/qradar.log
注意:管理者がログ・イベント・レートの通知を表示するために使用することができるキーワードは SourceMonitor です。
出力内容には、SourceMonitor ログの完全な情報が表示されます。
Jun 12 16:04:42 ::ffff:172.16.xxx.xxx [ecs-ec] [1c438dc5-ae70-4799-a4d0-853e5481b5bb/SequentialEventDispatcher] com.q1labs.sem.monitors.SourceMonitor: [INFO] [NOT:0000006000][172.16.xxx.xxx/- -] [-/- -]Incoming raw event rate (5s: 8422.00 eps), (10s: 8482.10 eps), (15s: 8458.13 eps), (30s: 8459.87 eps), (60s: 8514.48 eps), (300s: 8496.89 eps), (900s: 8496.89 eps). Peak in the last 60s: 8778.20 eps. Max Seen 8903.40 eps. EC Throttles/5s (60s: 10.00). Total EC Throttles in the last 60s: 120. Total EC Throttles: 5442. License Threshold: 5024.00
これらの例は、2つの EPS 統計を対比し、60秒未満でサンプリングされていても全く異なる値を提供することを示しています。SourceMonitor カウンタは 8514.48(60秒の平均EPS)を測定し、StatFilter は 5034 EPS のイベント・レートで、ほぼ同じ期間を報告します。
ライセンス・レートを超えて受信されたイベントは、Technote 1687020: QRadar: Event and Flow Burst Handling (Buffer).で説明されているように、ライセンス・レートでバッファされ、処理されます。実際のイベント負荷がライセンス容量を超えると、これを示すシステム通知がありますが、StatFilter データに基づくイベント・レート(EPS)グラフには反映されません。さらに、特定の種類のイベントをドロップするルーティングルールがある場合、StatFilter によって報告された値はライセンス制限よりも低くなることがあります。これは、EPS のグラフがライセンスレート以下の値を示しても、ライセンスレートを超えていることを示す通知を受け取っている状況につながります。
QRadar に関する情報は以下のリンクからも確認できますのでご参照ください。
Related Information
Was this topic helpful?
Document Information
Modified date:
07 September 2018
UID
ibm10730417