Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Notificaciones de límite para dispositivos JSA

Se alcanzó el límite de datos agregados

38750130 - The aggregated data view could not be created due to an aggregated limit.

Explicación

El acumulador es un proceso JSA que cuenta y prepara eventos y flujos en acumulaciones de datos para ayudar con las búsquedas, la visualización de gráficos y el rendimiento de los informes. El proceso del acumulador agrega datos en períodos de tiempo predefinidos para crear vistas de datos agregadas. Una vista de datos agregados es un conjunto de datos que se utiliza para dibujar un gráfico de series temporales y crear informes programados.

La consola está limitada a 130 vistas de datos agregados activos.

Las siguientes acciones de usuario pueden crear una nueva vista de datos agregados:

  • Nuevos informes.

  • Nuevas búsquedas guardadas que utilizan datos de series temporales.

Cuando se alcanza el límite de vista de datos agregados, se genera la notificación. A medida que los usuarios intentan crear informes o búsquedas guardadas, se les solicita en la interfaz de usuario que el sistema está en el límite.

Respuesta del usuario

Para resolver este problema, los administradores pueden revisar las vistas de datos agregados activas en la pestaña Administrador de la ventana Administración de datos agregados . La función de administración de datos agregados proporciona información sobre los informes, búsquedas por cada vista de datos agregados. El administrador puede revisar la lista de vistas de datos agregados para determinar qué datos son los que más importan a los usuarios. Se pueden deshabilitar las vistas de datos agregados para permitir a los usuarios crear una nueva regla, informe o búsqueda guardada que requiera una vista de datos agregados.

Si el administrador decide eliminar una vista de datos agregados, un resumen proporciona un resumen de las búsquedas, las reglas o los informes afectados. Para volver a crear una vista de datos agregados eliminados, el administrador solo necesita volver a habilitar o volver a crear la búsqueda o el informe. El sistema crea automáticamente la vista de datos agregada en función de los datos necesarios.

Se encontró un proceso no administrado que está causando transacciones largas

38750048 - Transaction Sentry: Found an unmanaged process causing unusually long transaction that negatively effects system stability.

Explicación

El centinela de transacciones determina que un proceso externo, como un problema de replicación de base de datos, secuencia de comandos de mantenimiento, actualización automática o proceso de línea de comandos, o una transacción, está causando un bloqueo de base de datos. La mayoría de los procesos no pueden ejecutarse durante más de una hora. Es necesario investigar las ocurrencias repetidas con el mismo proceso.

Respuesta del usuario

Seleccione una de las siguientes opciones:

  • Revise el archivo /var/log/qradar.log para la palabra TxSentry para determinar el identificador de proceso que está causando los problemas de sus transacciones.

  • Espere a ver si el proceso completa la transacción y libera el bloqueo de la base de datos.

  • Libere manualmente el bloqueo de la base de datos reiniciando el identificador de proceso.

Informes a largo plazo detenidos

38750054 - Terminating a report which was found executing for longer than the configured maximum threshold.

Explicación

El sistema cancela el informe que superó el límite de tiempo. Los informes que se ejecutan más que los siguientes límites de tiempo predeterminados se cancelan.

Tabla 1: Plazos predeterminados por frecuencia del informe

Frecuencia de informe

Límites de tiempo predeterminados (horas)

Horaria

2

Diario

12

Manual

12

Semanal

24

Mensual

24

Respuesta del usuario

Seleccione una de las siguientes opciones:

  • Reduzca el período de tiempo del informe, pero programe el informe para que se ejecute con mayor frecuencia.

  • Edite informes manuales para generar según un calendario.

    Un informe manual puede depender de datos brutos, pero no tener acceso a los datos acumulados. Edite su informe manual y cambie el informe para que utilice un programa por hora, diario, mensual o semanal.

Transacciones largas para un proceso administrado

38750056 - Transaction Sentry: Found managed process causing unusually long transaction that negatively effects system stability.

Explicación

El centinela de transacciones determina que un proceso administrado, como Tomcat o el servicio de recopilación de eventos (ECS) es la causa de un bloqueo de base de datos.

Un proceso administrado se ve obligado a reiniciarse.

Respuesta del usuario

Para determinar el proceso que causó el error, revise el qradar.log para la palabra TxSentry.

Máximo de dispositivos sensor monitoreados

38750006 - Traffic analysis is already monitoring the maximum number of log sources.

Explicación

El sistema contiene un límite para la cantidad de orígenes de registro que se pueden poner en cola para el descubrimiento automático mediante el análisis de tráfico. Si se alcanza el número máximo de orígenes de registro en la cola, no se pueden agregar nuevos orígenes de registro.

Los eventos del origen del registro se clasifican como SIM Generic y se etiquetan como Unknown Event Log.

Respuesta del usuario

Seleccione una de las siguientes opciones:

  • Revise los orígenes de registro genéricos de sim en la pestaña Actividad de registro para determinar el tipo de dispositivo a partir de la carga del evento.

  • Asegúrese de que las actualizaciones automáticas puedan descargar las últimas actualizaciones de DSM para identificar y analizar correctamente los eventos de origen del registro.

  • Compruebe si el origen del registro es oficialmente compatible.

    Si el dispositivo es compatible, cree manualmente un origen de registro para los eventos que no se detectaron automáticamente.

  • Si el dispositivo no es compatible oficialmente, cree un DSM universal para identificar y clasificar los eventos.

  • Espere a que el dispositivo proporcione 1000 eventos.

    Si el sistema no puede detectar automáticamente el origen del registro después de 1000 eventos, se elimina de la cola de análisis de tráfico. Hay espacio disponible para que otro origen de registro se descubra automáticamente.

El proceso supera el tiempo de ejecución permitido

38750122 - Process takes too long to execute. The maximum default time is 3600 seconds.

Explicación

Se supera el límite de tiempo predeterminado de 1 hora para que un proceso individual complete una tarea.

Respuesta del usuario

Revise el proceso en ejecución para determinar si la tarea es un proceso que puede seguir ejecutándose o debe detenerse.

Restauración de la operación centinela del SAR

38750072 - SAR Sentinel: normal operation restored.

Explicación

La utilidad del reportero de actividad del sistema (SAR) detectó que la carga del sistema volvió a niveles aceptables.

Respuesta del usuario

No es necesario realizar ninguna acción.

Umbral centinela SAR cruzado

38750073 - SAR Sentinel: threshold crossed.

Explicación

La utilidad del reportero de actividad del sistema (SAR) detectó que la carga del sistema está por encima del umbral. Su sistema puede experimentar un rendimiento reducido.

Respuesta del usuario

Revise las siguientes opciones:

  • En la mayoría de los casos, no se requiere ninguna resolución.

    Por ejemplo, cuando el uso de la CPU supera el 90 %, el sistema intenta automáticamente volver a su funcionamiento normal.

  • En el caso de las notificaciones de carga del sistema, reduzca la cantidad de procesos que se ejecutan simultáneamente.

    Escalone la hora de inicio de los informes, los análisis de vulnerabilidades o las importaciones de datos de sus orígenes de registro. Programe copias de seguridad y procesos del sistema para que comiencen en diferentes momentos para reducir la carga del sistema.

Umbral alcanzado para las acciones de respuesta

38750102 - Response Action: Threshold reached.

Explicación

El motor de reglas personalizadas (CRE) no puede responder a una regla porque el umbral de respuesta está completo.

Las reglas genéricas o un sistema sintonizado pueden generar muchas acciones de respuesta, especialmente sistemas con la opción IF-MAP habilitada. Las acciones de respuesta están en cola. Las acciones de respuesta se pueden eliminar si la cola supera los 2000 en el sistema de recopilación de eventos (ECS) o 1000 acciones de respuesta en Tomcat.

Respuesta del usuario

  • Si la opción IF-MAP está habilitada, compruebe que existe la conexión al servidor IF-MAP y que un problema de ancho de banda no está causando la respuesta de reglas a la cola en Tomcat.

  • Ajuste su sistema para reducir la cantidad de reglas que se activan.

Documentación relacionada