JSA 어플라이언스에 대한 알림 제한

설명

누산기는 검색, 차트 표시 및 보고서 성능을 지원하기 위해 데이터 축적의 이벤트와 흐름을 계산하고 준비하는 JSA 프로세스입니다. 누산기 프로세스는 미리 정의된 시간 범위에서 데이터를 집계하여 집계 데이터 보기를 만듭니다. 집계 데이터 보기 는 시계열 그래프를 그리고 예약된 보고서를 만드는 데 사용되는 데이터 집합입니다.

콘솔은 130개의 활성 집계 데이터 보기로 제한됩니다.

다음 사용자 작업은 새 집계 데이터 보기를 만들 수 있습니다.

• 새 보고서.

• 시계열 데이터를 사용하는 새로운 저장된 검색입니다.

집계 데이터 보기 제한에 도달하면 알림이 생성됩니다. 사용자가 보고서 또는 저장된 검색을 만들려고 하면 사용자 인터페이스에 시스템이 한계에 도달했다는 메시지가 표시됩니다.

사용자 응답

이 문제를 해결하기 위해 관리자는 집계된 데이터 관리 창의 관리 탭에서 활성 집계 데이터 보기를 검토할 수 있습니다. 집계된 데이터 관리 기능은 보고서에 대한 정보, 각 집계 데이터 보기별 검색을 제공합니다. 관리자는 집계 데이터 보기 목록을 검토하여 사용자에게 가장 많이 제공되는 데이터를 확인할 수 있습니다. 집계 데이터 보기를 사용 중지하여 사용자가 집계 데이터 보기가 필요한 새 규칙, 보고서 또는 저장된 검색을 만들 수 있습니다.

관리자가 집계 데이터 보기를 삭제하기로 결정한 경우 요약은 영향을 받는 검색, 규칙 또는 보고서에 대한 개요를 제공합니다. 삭제된 집계 데이터 보기를 다시 만들려면 관리자가 검색 또는 보고서를 다시 활성화하거나 다시 만들기만 하면 됩니다. 시스템은 필요한 데이터를 기반으로 집계 데이터 보기를 자동으로 만듭니다.

설명

트랜잭션 센트리는 데이터베이스 복제 문제, 유지 관리 스크립트, 자동 업데이트 또는 명령줄 프로세스와 같은 외부 프로세스 또는 트랜잭션으로 인해 데이터베이스 잠금이 발생하는지 확인합니다. 대부분의 프로세스는 한 시간 이상 실행할 수 없습니다. 동일한 프로세스에서 반복되는 발생을 조사해야 합니다.

사용자 응답

다음 옵션 중 하나를 선택합니다.

• 단어 TxSentry 에 대한 /var/log/qradar.log 파일을 검토하여 트랜잭션 문제를 일으키는 프로세스 식별자를 판별하십시오.

• 프로세스가 트랜잭션을 완료하고 데이터베이스 잠금을 해제하는지 확인하기 위해 기다립니다.

• 프로세스 ID를 다시 시작하여 데이터베이스 잠금을 수동으로 해제하십시오.

설명

시스템은 시간 제한을 초과한 보고서를 취소합니다. 다음 기본 시간 제한보다 오래 실행되는 보고서는 취소됩니다.

사용자 응답

다음 옵션 중 하나를 선택합니다.

• 보고서 기간을 줄이되 보고서가 더 자주 실행되도록 예약합니다.

• 수동 보고서를 편집하여 일정에 따라 생성할 수 있습니다.

  수동 보고서는 원시 데이터에 의존할 수 있지만 누적된 데이터에 액세스하지 못할 수 있습니다. 수동 보고서를 수정하고 시간별, 일별, 월별 또는 주별 일정을 사용하도록 보고서를 변경합니다.

설명

트랜잭션 센트리는 Tomcat 또는 ECS(Event Collection Service)와 같은 관리 프로세스가 데이터베이스 잠금의 원인임을 판별합니다.

관리되는 프로세스를 강제로 다시 시작합니다.

사용자 응답

오류를 일으킨 프로세스를 확인하려면 단어TxSentry에 대한 qradar.log 검토합니다.

설명

시스템에는 트래픽 분석에 의한 자동 검색을 위해 대기열에 넣을 수 있는 로그 소스 수에 대한 제한이 있습니다. 대기열의 최대 로그 소스 수에 도달하면 새 로그 소스를 추가할 수 없습니다.

로그 소스에 대한 이벤트는 로 SIM Generic 분류되고 (으 Unknown Event Log)로 레이블이 지정됩니다.

사용자 응답

다음 옵션 중 하나를 선택합니다.

• Log Activity(로그 활동) 탭에서 SIM Generic log sources(SIM 일반 로그 원본)를 검토하여 이벤트 페이로드에서 어플라이언스 유형을 확인합니다.

• 자동 업데이트가 로그 소스 이벤트를 올바르게 식별하고 구문 분석하기 위해 최신 DSM 업데이트를 다운로드할 수 있는지 확인합니다.

• 로그 소스가 공식적으로 지원되는지 확인합니다.

  어플라이언스가 지원되는 경우 자동으로 검색되지 않은 이벤트에 대한 로그 소스를 수동으로 생성합니다.

• 기기가 공식적으로 지원되지 않는 경우 범용 DSM을 만들어 이벤트를 식별하고 분류합니다.

• 디바이스가 1,000개의 이벤트를 제공할 때까지 기다립니다.

  시스템이 1,000개의 이벤트 후 로그 소스를 자동으로 검색할 수 없는 경우 트래픽 분석 대기열에서 제거됩니다. 다른 로그 소스가 자동으로 감지될 수 있도록 공간이 제공됩니다.

설명

개별 프로세스가 작업을 완료하는 데 필요한 기본 시간 제한인 1시간을 초과합니다.

사용자 응답

실행 중인 프로세스를 검토하여 작업을 계속 실행할 수 있는 프로세스인지 또는 중지해야 하는지 확인합니다.

설명

SAR(System Activity Reporter) 유틸리티가 시스템 부하가 허용 가능한 수준으로 돌아왔음을 감지했습니다.

사용자 응답

아무 조치도 필요하지 않습니다.

설명

SAR(System Activity Reporter) 유틸리티가 시스템 로드가 임계값을 초과함을 감지했습니다. 시스템 성능이 저하될 수 있습니다.

사용자 응답

다음 옵션을 검토하십시오.

• 대부분의 경우 해결 방법이 필요하지 않습니다.

  예를 들어 CPU 사용량이 90%를 초과하면 시스템이 자동으로 정상 작동으로 돌아가려고 시도합니다.

• 시스템 로드 알림의 경우, 동시에 실행되는 프로세스 수를 줄이십시오.

  로그 소스에 대한 보고서, 취약성 검사 또는 데이터 가져오기의 시작 시간을 엇갈리게 설정합니다. 시스템 로드를 줄이기 위해 백업 및 시스템 프로세스가 서로 다른 시간에 시작되도록 예약합니다.

설명

응답 임계값이 가득 찼기 때문에 사용자 정의 규칙 엔진(CRE)이 규칙에 응답할 수 없습니다.

일반 규칙 또는 튜닝된 시스템은 많은 응답 조치를 생성할 수 있으며, 특히 IF-MAP 옵션이 사용 가능한 시스템은 더욱 그렇습니다. 응답 작업이 큐에 대기됩니다. 대기열이 이벤트 수집 시스템(ECS)에서 2000개를 초과하거나 Tomcat에서 1000개 응답 작업을 초과하는 경우 응답 작업이 삭제될 수 있습니다.

사용자 응답

• IF-MAP 옵션이 사용 가능한 경우, IF-MAP 서버에 대한 연결이 존재하고 대역폭 문제점으로 인해 Tomcat의 큐에 대한 규칙 응답이 발생하지 않는지 확인하십시오.

• 트리거되는 규칙 수를 줄이도록 시스템을 조정합니다.