JSAアプライアンスのカスタムルール通知
CRE がルールの読み取りに失敗しました
38750107 - The last attempt to read in rules (usually due to a rule change) has failed. Please see the message details and error log for information on how to resolve this.
説明
イベント プロセッサー上のカスタム ルール エンジン(CRE)は、受信イベントを相互に関連付けるルールを読み取ることができません。通知には、以下のいずれかのメッセージが含まれている場合があります。
CRE が 1 つのルールを読み取れない場合、ほとんどの場合、最新のルール変更が原因です。通知メッセージのペイロードには、責任を持つルール チェーンのルールまたはルールが表示されます。
まれな状況では、データの破損がルール セットの完全な障害を引き起こす可能性があります。アプリケーション エラーが表示され、ルール エディター インターフェイスが応答しなくなるか、エラーが発生する可能性があります。
ユーザーの回答
単一のルール読み取りエラーが発生した場合は、次のオプションを確認します。
通知を引き起こしているルールを見つけるには、一時的にルールを無効にします。
ルールを編集して、最近の変更を元に戻します。
エラーの原因となっているルールを削除して再作成します。
CREがルールの読み取りに失敗したアプリケーションエラーについては、ジュニパーのカスタマーサポートにお問い合わせください。
周期カスタム ルールの依存関係チェーンの検出
38750131 - Found custom rules cyclic dependency chain.
説明
単一のルールは、それ自体を直接参照するか、他の一連のルールや構成要素を介してそれ自体に参照されます。このエラーは、フル構成をデプロイするときに発生します。ルール セットは読み込まれません。
ユーザーの回答
循環依存関係を作成したルールを編集します。定期的なシステム通知を防ぐために、ルール チェーンを壊す必要があります。ルール チェーンが修正されると、保存によってルールが自動的に再ロードされ、問題が解決されます。
高価なカスタム ルールが見つかりました
38750120 - Expensive Custom Rules Found in CRE. Performance degradation was detected in the event pipeline. Found expensive custom rules in CRE.
説明
カスタム ルール エンジン(CRE)とは、イベントがルール セットに一致するかどうかを検証し、アラート、攻撃、または通知をトリガーするプロセスです。
ユーザーは、大きなスコープを持つカスタムルールを作成したり、効率的ではない正規表現パターンを使用したり、 ペイロードに テストが含まれているか、ルールを正規表現と組み合わせることができます。このカスタム ルールを使用すると、パフォーマンスに悪影響を及ぼすため、イベントがストレージに直接不適切にルーティングされる可能性があります。イベントはインデックスを付け、正規化されますが、アラートや攻撃をトリガーすることはありません。
複数のルールテスト、高コスト、非効率なルールテストを使用すると、最大イベントスループットレートが低下し、イベントのバックログがルールエンジンを通過することがあります。イベントはストレージに直接ルーティングされる場合があり、この警告が表示されます。
ユーザーの回答
以下のオプションを確認します。
通知のペイロードを確認して、パイプライン内のどの高価なルールがパフォーマンスに影響するかを判断します。
たとえば、次のペイロードはテストを報告します。パイプライン内の「ペイロード検証」ルールと、報告された EPS レートは 787 イベント/秒であり、ルール エンジンの最大スループットが低下する可能性があります。
[Timer-27]com.q1labs.semsources.cre.CRE: [WARN] [NOT:0040004101][10.1.2.4/- -] [-/--]Expensive Custom Rules Based On Average Throughput in the last 60 seconds: Test: Payload Verification=787.98045190917eps, Monitoring: Suspect IPs seen with successful logins=899.02679830748eps
[ 攻撃 ] タブで [ ルール ] をクリックし、検索ウィンドウを使用して高価なルールを検索および編集または無効化します。ルールを編集することで、ログソースまたはIPアドレス範囲フィルターを適用することで、ルールを通過するデータの量を減らすことができます。ペイロードに含まれるような高価なテストは、不要な場合に削減または削除することもできます。参照セット テストを確認して、大きなリファレンス セットに対してクエリーを実行していないことを確認します。
SSH を使用してイベント プロセッサーにログインし、次のコマンドを使用して、パーサー スレッドが 1500 ミリ秒を超える EPS 読み込みで実行されていることを確認します。
ログ・ソース・パーサーを、最も送信済みのイベントを最小に注文し、未使用のパーサーを無効にします。
/opt/qradar/support/threadTop.sh
次のコマンドを使用して、Java スレッド スタック
regex.Pattern.Curly, referenceSet, assets, host profile, and port profile
を検索します。/opt/qradar/support/threadTop.sh -p 7799 -s -e ".*CRE プロセッサー.*"
出力に 、 ペイロードに関する
regex.Pattern.Curly
問題に含まれるテストが 含まれている 場合は可能です。出力に 、 が含まれている場合、
referenceSet
大きな参照セットに対するテストで問題が発生する可能性があります。ポートオープンテストまたはアセットテストを
assets, host profile, and port profile,
持つホストで、出力に問題が発生する可能性があります。
ルールが問題ではない可能性がある
この通知は、ルール エンジンの周囲のストレージにイベントがルーティングされたときにトリガーできます。この通知を調査するときに、通知の「EPS」レートが 20,000 EPS を超えると、問題が他の場所にある可能性があることを示す可能性があります。20,000 EPS 以上のイベントを処理できるルールは、かなり最適化されています。「ストレージにルーティングされたイベント」をトリガーした状況はルールではないかもしれませんが、別のものかもしれません。検討すべきその他の項目を以下に示します。
長期的なデータ検索など、他の理由でシステムの負荷が高くなっていますか?
ディスク使用率が 85% 以上の「オン/ストア」であり、データ圧縮がストレージのパフォーマンスに影響を与える可能性があるか。
HA が使用中で、イベント レートが 10,000 EPS よりも高い場合は、2 つの HA ノード間で十分な帯域幅があることを確認します。たとえば、単一の 1 Gbps 接続(専用のクロスオーバー回線であっても)では、ストレージのパフォーマンスが制限される可能性があります。
別の 「/一時/」 パーティションはありますか。そうでない場合は、一時データの圧縮解除によってストレージ・リソースが使用され、ストレージ要求が高くなる可能性もあります。