Troubleshooting
Problem
大量の履歴ログ・データを使用してモニターするために新しい Amazon AWS CloudTrail ログ・ソースを作成すると、パフォーマンスとディスク・スペースに問題が発生する可能性があります。
Cause
新しい Amazon AWS CloudTral のログ・ソースを作成してデプロイすると、ログ・ソースは最も古いタイム・スタンプから最新のものまで、全ての圧縮ログ・データを取得しようとします。 QRadar がこのデータを抽出し処理しようとする前に、ログ・データが取得され、 /store ディレクトリーに一時的に保管されることにより、多数のヒストリカル・ログ・ファイルが検出され、結果としてパフォーマンスとディスク・スペースの問題が発生する可能性があります。
Resolving The Problem
この問題を解決するには、 AWS CloudTrail ログ・ソースの持続セッション・プロパティーを手動で更新し、ログ・ソース・データ検索の開始ポイントを設定する必要があります。
【開始ポイントの設定手順】
-
AWS CloudTrail ログ・ソースを使用不可にします。
-
SSH ログインを使用して、 QRadar コンソールにログインします。
-
ログ・ソースがコンソール以外のイベント・プロセッサーに対して構成されている場合は、コンソールから適切なイベント・プロセッサーに SSH 接続します。
-
ディレクトリーを /store/ec/amazonaws に変更します。cd /store/ec/amazonaws
-
vi エディターを使用し、対象のログ・ソースに対して AWS CloudTrail セッション・プロパティー・ファイルを開きます。
-
ログ・ソース・データ検索を開始させたいログ・ファイル名のマーカー・プロパティーを変更します。#Amazon AWS REST API compare list
#Wed Aug 02 12:02:49 ADT 2017
marker=AWSLogs/379708147527/CloudTrail/us-east-1/2017/08/02/379708147527_CloudTrail_us-east-1_20170802T0015Z_IJjTQMuj4iA5COc1.json.gz
lastPoll=1501686169203 -
変更を保存するには、 esc :wq を入力します。
-
AWS CloudTrail ログ・ソースを使用可能にします。
結果:
CloudTrail イベント・データ検索の開始ポイントが設定されます。
Related Information
Document Location
Worldwide
[{"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Component":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"7.2\u30017.3","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}}]
Was this topic helpful?
Document Information
Modified date:
08 April 2020
UID
ibm10874288