1. Introduction
Bonjour à tous, nous allons découvrir aujourd’hui comment modifier le fichier de configuration de QRadar et ainsi activer ou modifier des options cachées. Ces options sont le plus souvent à utiliser dans des environnements de test car leurs modifications peut avoir un impact fort sur votre infrastructure.
Attention : Je ne suis en aucun cas responsable d’un dysfonctionnement qui surviendrait suite à des actions décrites sur cette page. C’est donc pour cela que je vous invite à effectuer des tests au préalable et/ou faire des sauvegardes des fichiers modifiés avant de mettre en production des changements.
2. HowTo
Le cœur des paramètres de QRadar se trouve dans le fichier :
/store/configservices/staging/globalconfig/nva.conf
Le modifier implique de déployer la configuration depuis l’interface graphique (Admin>Déployer la configuration) pour que ces changements soient pris en charge. Voici des exemples de modification possibles :
- APP_CONSOLE_MEMORY_PERCENT
- CUSTOM_ACTION_TIMEOUT
La première variable permet de définir le pourcentage de mémoire RAM qui va être alloué pour les applications sur la console. En effet, par défaut le pourcentage de mémoire RAM qui est donné aux applications sur les consoles QRadar ou les AIO (All In One) est de 10%. Ce pourcentage est souvent très restrictif dans des environnements de test pour pouvoir installer et c’est donc pour cela qu’il est intéressant d’augmenter la valeur de cette variable.
La seconde variable correspond à la durée, en secondes, au bout de laquelle un “Custom Script” va timeout. Autrement dit, si vous utilisez la fonctionnalité “Custom Script” de QRadar et que des scripts sont lancés, ils auront une durée d’exécution limitée. En effet, pour ne pas avoir des scripts qui tournent dans le vide, QRadar termine les scripts qui mettent trop de temps à s’exécuter. Vous pouvez néanmoins modifier cette valeur pour permettre à vos scripts d’exécuter des actions plus complexes prenant plus de temps.
3. Conclusion
Nous voici à la conclusion de ce petit article. J’espère qu’il vous aura permis de découvrir des paramètres nouveaux à modifier pour subvenir à vos besoins ou déclencher de nouvelles idées. N’hésitez pas à partager vos idées de configurations à modifier pour améliorer toujours plus l’utilisation de QRadar.
Merci d’avoir suivi ce petit tuto, en espérant que cela vous ait été utile. N’hésitez pas à me communiquer vos ressentis, tips…etc via le formulaire ci-dessous.