JSA 어플라이언스에 대한 사용자 지정 규칙 알림
CRE가 규칙을 읽지 못함
38750107 - The last attempt to read in rules (usually due to a rule change) has failed. Please see the message details and error log for information on how to resolve this.
설명
이벤트 프로세서의 사용자 정의 규칙 엔진(CRE)이 수신 이벤트를 상관시키는 규칙을 읽을 수 없습니다. 알림에는 다음 메시지 중 하나가 포함될 수 있습니다.
CRE가 단일 규칙을 읽을 수 없는 경우 대부분의 경우 최근 규칙 변경이 원인입니다. notification 메시지의 페이로드에는 책임이 있는 규칙 체인의 규칙 또는 규칙이 표시됩니다.
드문 경우지만 데이터 손상으로 인해 규칙 집합이 완전히 실패할 수 있습니다. 애플리케이션 오류가 표시되고 규칙 편집기 인터페이스가 응답하지 않거나 더 많은 오류를 생성할 수 있습니다.
사용자 응답
단일 규칙 읽기 오류의 경우 다음 옵션을 검토하십시오.
알림을 발생시키는 규칙을 찾으려면 규칙을 일시적으로 사용하지 않도록 설정합니다.
규칙을 편집하여 최근 변경 사항을 되돌립니다.
오류를 발생시키는 규칙을 삭제하고 다시 만듭니다.
CRE가 규칙을 읽지 못하는 애플리케이션 오류의 경우, 주니퍼 고객 지원 센터에 문의하십시오.
순환 사용자 지정 규칙 종속성 체인이 감지됨
38750131 - Found custom rules cyclic dependency chain.
설명
단일 규칙은 자신을 직접 참조하거나 일련의 다른 규칙 또는 구성 요소를 통해 자신을 참조했습니다. 이 오류는 전체 구성을 구축할 때 발생합니다. 규칙 집합이 로드되지 않습니다.
사용자 응답
순환 종속성을 만든 규칙을 편집합니다. 반복되는 시스템 알림을 방지하기 위해 규칙 체인을 끊어야 합니다. 규칙 체인이 수정된 후 저장하면 규칙이 자동으로 다시 로드되고 문제가 해결됩니다.
비용이 많이 드는 사용자 지정 규칙 발견
38750120 - Expensive Custom Rules Found in CRE. Performance degradation was detected in the event pipeline. Found expensive custom rules in CRE.
설명
사용자 정의 규칙 엔진(CRE)은 이벤트가 규칙 세트와 일치하는지 검증한 다음 경고, 공격 또는 알림을 트리거하는 프로세스입니다
사용자는 범위가 크거나, 효율적이지 않은 정규식 패턴을 사용하거나, 페이로드 포함 테스트를 포함하거나, 규칙을 정규식과 결합하는 사용자 지정 규칙을 만들 수 있습니다. 이 사용자 지정 규칙을 사용하면 성능에 부정적인 영향을 미쳐 이벤트가 스토리지로 직접 잘못 라우팅될 수 있습니다. 이벤트는 인덱싱되고 정규화되지만 경고 또는 공격을 트리거하지는 않습니다.
비용이 많이 들거나 비효율적인 규칙 테스트를 여러 번 사용하는 경우 최대 이벤트 처리량 속도가 줄어들어 이벤트 백로그가 규칙 엔진을 통과할 수 있습니다. 이벤트는 스토리지로 직접 라우팅될 수 있으며 이 경고가 표시됩니다.
사용자 응답
다음 옵션을 검토하십시오.
알림의 페이로드를 검토하여 파이프라인에서 성능에 영향을 미치는 비용이 많이 드는 규칙을 확인합니다.
예를 들어 다음 페이로드는 파이프라인의 테스트: "페이로드 확인" 규칙을 보고하고 보고된 EPS 속도는 초당 787개 이벤트이므로 규칙 엔진의 최대 처리량이 감소할 수 있습니다.
[Timer-27]com.q1labs.semsources.cre.CRE: [WARN] [NOT:0040004101][10.1.2.4/- -] [-/--]Expensive Custom Rules Based On Average Throughput in the last 60 seconds: Test: Payload Verification=787.98045190917eps, Monitoring: Suspect IPs seen with successful logins=899.02679830748eps
Offenses(공격) 탭에서 Rules(규칙)를 클릭하고 검색 창을 사용하여 비용이 많이 드는 규칙을 찾아 편집하거나 비활성화합니다. 규칙을 편집하면 로그 소스 또는 IP 주소 범위 필터를 적용하여 규칙을 통과하는 데이터의 양을 줄일 수 있습니다. 페이로드 포함과 같은 비용이 많이 드는 테스트도 필요하지 않은 경우 줄이거나 제거할 수 있습니다. 참조 집합 테스트는 큰 참조 집합을 쿼리하지 않는지 확인하기 위해 검토되어야 합니다.
SSH를 사용하여 이벤트 프로세서에 로그인하고 다음 명령을 사용하여 구문 분석기 스레드가 EPS 로드에 대해 1500밀리초 이상 실행되고 있는지 확인하십시오.
가장 많은 이벤트를 보낸 로그 소스에서 가장 적은 이벤트 순으로 로그 소스 구문 분석기를 정렬하고 사용하지 않는 구문 분석기를 비활성화합니다.
/opt/qradar/지원/threadTop.sh
다음 명령을 사용하여 Java 스레드 스택을
regex.Pattern.Curly, referenceSet, assets, host profile, and port profile검색하십시오./opt/qradar/support/threadTop.sh -p 7799 -s -e ".*CRE 프로세서.*"
출력에 ,
regex.Pattern.Curly페이로드 포함 테스트에 문제가 있을 수 있습니다.출력에 가 포함되어
referenceSet있는 경우, 큰 참조 세트에 대한 테스트에서 문제가 발생할 수 있습니다.출력에 포함된
assets, host profile, and port profile,경우 포트 열기 테스트 또는 자산 테스트 가 있는 호스트 에서 문제가 발생할 수 있습니다.
규칙이 문제가 아닐 수도 있습니다.
이 알림은 이벤트가 규칙 엔진 주변의 스토리지로 라우팅될 때 트리거될 수 있습니다. 이 알림을 조사할 때 알림의 'EPS' 비율이 ~20,000EPS보다 높으면 문제가 다른 곳에 있을 수 있음을 나타낼 수 있습니다. 20,000 EPS 이상의 이벤트를 처리할 수 있는 규칙은 상당히 최적화되어 있습니다. '스토리지로 라우팅된 이벤트'를 트리거한 상황은 규칙이 아닐 수도 있지만 다른 것일 수 있습니다. 고려해야 할 다른 항목은 다음과 같습니다.
장기 데이터 검색과 같은 다른 이유로 시스템의 부하가 높습니까?
디스크 사용률이 85% 이상인 "온/스토어"이고 잠재적으로 데이터 압축이 스토리지 성능에 영향을 미치나요?
HA가 사용 중이고 이벤트 속도가 10,000EPS보다 높은 경우 두 HA 노드 간에 충분한 대역폭이 있는지 확인합니다. 예를 들어, 전용 크로스오버에서도 단일 1Gbps 연결은 스토리지 성능을 제한할 수 있습니다.
별도의 "/ transient /" 파티션이 있습니까? 그렇지 않은 경우 임시 데이터 압축 해제는 스토리지 리소스를 사용하고 높은 스토리지 수요에 기여할 수도 있습니다.