Troubleshooting
Problem
EPS のライセンスの制限に達したときに、ドロップされたイベントの数を確認する方法を教えてください。
Cause
イベントは EPS 値がライセンスの制限に達するとドロップされます。
Resolving The Problem
ドロップされたイベントの数は
CLI で以下のコマンドを実行します。
以下のサンプルのようなメッセージが表示されます。
注: このメッセージの内容からドロップされたイベントの数を確認することができます。
/var/log/qradar.log ファイルで確認することができます。tail コマンドを grep とともに実行することで、ライセンスの制限を越えたイベントの数を確認することができます。CLI で以下のコマンドを実行します。
tail -n 15 /var/log/qradar.log | grep "peak of" 以下のサンプルのようなメッセージが表示されます。
Line 81403: Sep 13 13:33:13 ::ffff:xxx.xxx.xxx.xxx [ecs-ec] [e0daa414-a959-4e5b-b2a9-cf4dc3da2a46/SequentialEventDispatcher]com.q1labs.sem.monitors.SourceMonitor: [WARN] [NOT:0060005100][xxx.xxx.xxx.xxx/- -] [-/- -]A total of 171368542 dropped raw event(s) have been detected. 39914 raw event(s) have been dropped in the last 60 seconds. License restrictions have been applied 120 times in the last 60 seconds. The average event rate in the last 60
seconds was 1695.18 eps (with a peak of 1805.80 eps), and within that time has exceeded the 1024.00 eps license set on the system 12 times.注: このメッセージの内容からドロップされたイベントの数を確認することができます。
[{"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Component":"Licensing","Platform":[{"code":"PF016","label":"Linux"}],"Version":"7.2;7.1;7.0","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}}]
Was this topic helpful?
Document Information
Modified date:
02 April 2020
UID
swg22013340