Question & Answer
Question
QRadarアプライアンスの /store/ariel 内にはどのようなディレクトリーがありますか?
また各ディレクトリーの目的は何ですか?
また各ディレクトリーの目的は何ですか?
Answer
この記事では、/store/ariel /に含まれる各ディレクトリーのリストと簡単な説明を提供します。
注:以下のツリー構造では、表記 <YEAR-xxxN> は、Arielへ登録された日付の年フィールドを示す4桁の数字を表します。
同様に、 <MONTH-n> はArielへ登録された日付の月のエントリを表す 1 桁または 2 桁の数字、 <DAY-n> は日付の日フィールドを表す1桁または2桁の数字、<HOUR-n>は時間フィールドを表します。
+-- cv = 累積データ(
+-- events = イベントの最上位ディレクトリー
¦ +-- md = 暗号化が有効になっているときに作成され、ハッシュ値を含む
¦ +-- payloads = イベントペイロードを含む
¦ ¦ +--<YEAR-xxx1>
¦ ¦ ¦ +--<MONTH-1>
¦ ¦ ¦ ¦ +--<DAY-1>
¦ ¦ ¦ ¦ ¦ +--<HOUR-1>
¦ ¦ ¦ ¦ ¦ +--<HOUR-2>
¦ ¦ ¦ ¦ ¦ +-- .
¦ ¦ ¦ ¦ ¦ +--<HOUR-24>
¦ ¦ ¦ ¦ +--<DAY-2>
¦ ¦ ¦ ¦ +-- .
¦ ¦ ¦ ¦ +--<DAY-31>
¦ ¦ ¦ +--<MONTH-2>
¦ ¦ ¦ +-- .
¦ ¦ ¦ +--<MONTH-12>
¦ ¦ +-- .
¦ ¦ +--<YEAR-xxxN>
¦ +-- records = イベントレコードを含む
¦ ¦ +--<YEAR-xxx1>
¦ ¦ ¦ +--<MONTH-1>
¦ ¦ ¦ ¦ +--<DAY-1>
¦ ¦ ¦ ¦ ¦ +--<HOUR-1>
¦ ¦ +-- .
¦ ¦ +-- .
¦ ¦ +--<YEAR-xxxN>
¦ +-- uncompressedCache = 圧縮ファイルへのポインター
+-- flows = フローの最上位ディレクトリー
¦ +-- payloads = フローペイロードを含む
¦ ¦ ¦ +--<MONTH-1>
¦ ¦ ¦ ¦ +--<DAY-1>
¦ ¦ ¦ ¦ ¦ +--<HOUR-1>
¦ ¦ +-- .
¦ ¦ +-- .
¦ ¦ +--<YEAR-xxxN>
¦ +-- records = フローレコードを含む
¦ ¦ ¦ +--<MONTH-1>
¦ ¦ ¦ ¦ +--<DAY-1>
¦ ¦ ¦ ¦ ¦ +--<HOUR-1>
¦ ¦ +-- .
¦ ¦ +-- .
¦ ¦ +--<YEAR-xxxN>
¦ +-- uncompressedCache = 圧縮ファイルへのポインター
+-- gv = グローバルビューの最上位ディレクトリー
¦ +-- definitions = グローバルビュー定義
¦ +-- records = グローバルビューレコード
+-- hprof = ホストプロファイルの最上位ディレクトリー
¦ +-- uncompressedCache = 検索用カーソル
+-- persistent_data = 圧縮ファイルへのポインタ
¦ +-- ariel.ariel_proxy_server = 過去24時間の検索結果の保存
+-- simarc = QRadar Risk Manager 接続データ
+-- simevent = QRadar Risk Manager イベントデータ
+-- statistics = 統計
Accumulated data)を含む+-- events = イベントの最上位ディレクトリー
¦ +-- md = 暗号化が有効になっているときに作成され、ハッシュ値を含む
¦ +-- payloads = イベントペイロードを含む
¦ ¦ +--<YEAR-xxx1>
¦ ¦ ¦ +--<MONTH-1>
¦ ¦ ¦ ¦ +--<DAY-1>
¦ ¦ ¦ ¦ ¦ +--<HOUR-1>
¦ ¦ ¦ ¦ ¦ +--<HOUR-2>
¦ ¦ ¦ ¦ ¦ +-- .
¦ ¦ ¦ ¦ ¦ +--<HOUR-24>
¦ ¦ ¦ ¦ +--<DAY-2>
¦ ¦ ¦ ¦ +-- .
¦ ¦ ¦ ¦ +--<DAY-31>
¦ ¦ ¦ +--<MONTH-2>
¦ ¦ ¦ +-- .
¦ ¦ ¦ +--<MONTH-12>
¦ ¦ +-- .
¦ ¦ +--<YEAR-xxxN>
¦ +-- records = イベントレコードを含む
¦ ¦ +--<YEAR-xxx1>
¦ ¦ ¦ +--<MONTH-1>
¦ ¦ ¦ ¦ +--<DAY-1>
¦ ¦ ¦ ¦ ¦ +--<HOUR-1>
¦ ¦ +-- .
¦ ¦ +-- .
¦ ¦ +--<YEAR-xxxN>
¦ +-- uncompressedCache = 圧縮ファイルへのポインター
+-- flows = フローの最上位ディレクトリー
¦ +-- payloads = フローペイロードを含む
¦ ¦ ¦ +--<MONTH-1>
¦ ¦ ¦ ¦ +--<DAY-1>
¦ ¦ ¦ ¦ ¦ +--<HOUR-1>
¦ ¦ +-- .
¦ ¦ +-- .
¦ ¦ +--<YEAR-xxxN>
¦ +-- records = フローレコードを含む
¦ ¦ ¦ +--<MONTH-1>
¦ ¦ ¦ ¦ +--<DAY-1>
¦ ¦ ¦ ¦ ¦ +--<HOUR-1>
¦ ¦ +-- .
¦ ¦ +-- .
¦ ¦ +--<YEAR-xxxN>
¦ +-- uncompressedCache = 圧縮ファイルへのポインター
+-- gv = グローバルビューの最上位ディレクトリー
¦ +-- definitions = グローバルビュー定義
¦ +-- records = グローバルビューレコード
+-- hprof = ホストプロファイルの最上位ディレクトリー
¦ +-- uncompressedCache = 検索用カーソル
+-- persistent_data = 圧縮ファイルへのポインタ
¦ +-- ariel.ariel_proxy_server = 過去24時間の検索結果の保存
+-- simarc = QRadar Risk Manager 接続データ
+-- simevent = QRadar Risk Manager イベントデータ
+-- statistics = 統計
Related Information
[{"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Component":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All versions","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}}]
Was this topic helpful?
Document Information
Modified date:
08 April 2020
UID
ibm10885861