Sooua
登录
返回文章列表
QRadar··1 分钟阅读

性能调优

flowchart TD

#QRadar#SIEM#安全运营

性能瓶颈识别

EPS 优化

# 查看当前 EPS 限制
/opt/qradar/bin/myver -v
 
# 调整事件保留时间
/opt/qradar/bin/adoConfig.sh
 
# 查看队列深度
tail -f /var/log/qradar.log | grep "queue"

优化策略

层面优化措施
日志源关闭不必要源、调整日志级别
解析禁用不必要 Custom Property、优化正则
规则减少宽泛规则、使用 Building Block
存储调整保留策略、配置 Data Node

数据库调优

# PostgreSQL 调优
# 编辑 /var/lib/pgsql/data/postgresql.conf
 
# 关键参数
shared_buffers = 8GB
effective_cache_size = 24GB
work_mem = 64MB
maintenance_work_mem = 2GB

网络调优

# 增加 UDP 缓冲区
sysctl -w net.core.rmem_max=134217728
sysctl -w net.core.wmem_max=134217728
 
# 写入 /etc/sysctl.conf 持久化

上一章:01 - 分布式部署架构 下一章:03 - AQL 高级查询

分享

评论

登录 后参与讨论。

加载中…

相关文章

QRadar··1 分钟

CLI 速查表

/opt/qradar/bin/myver -v

#QRadar#SIEM#安全运营
QRadar··2 分钟

AQL 速查表

-- 查询所有事件(最近1小时)

#QRadar#SIEM#安全运营
QRadar··1 分钟

REST API 速查表

SEC: <authorized-service-token>

#QRadar#SIEM#安全运营