Archiver : Agrégation de groupes

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
 

Cette rubrique explique comment les Concentrators peuvent être regroupés en clusters qui partagent la tâche d'agrégation entre plusieurs hôtes.

Remarque : L'agrégation en clusters ne s'applique pas aux Brokers.

L'agrégation en clusters (également connue sous le nom d'agrégation en « gang »), permet à plusieurs concentrators d'effectuer une agrégation efficace à partir d'un seul Decoder.  Certains concentrators peuvent être regroupés pour former un gang d'agrégation. Les concentrators contenus dans le gang divisent toutes les sessions entre elles. L'agrégation de groupes ou l'agrégation en clusters permet à plusieurs concentrators d'effectuer une agrégation efficace à partir d'un seul Decoder dans le type d'architecture illustré ci-dessous :

Exemple 

Certains concentrators peuvent être regroupés pour former une agrégation en clusters. Les concentrators du cluster partagent toutes les sessions entre eux.

Dans un gang de deux concentrators, les sessions agrégées par chaque concentrator pourrait ressembler à ceci :

                     
Concentrator 0Concentrator 1
1 - 9 99910 000 à 19 999
20 000 à 29 99930 000 à 39 999
40 000 à 49 99950 000 à 59 999

Paramètres de l'agrégation de groupes

Vous pouvez configurer le cluster dans le cadre de la configuration des services Concentrator et Archiver sous la vue Configuration des services de Security Analytics. Ce tableau répertorie les paramètres que vous pouvez également configurer dans la vue Explorer les services.

                                   
ParamètreOù le paramètre est définiDescription :
Sessions d'agrégation maximum/concentrator/config/
aggregate.sessions.max
Nombre de sessions qu'un concentrator reçoit d'un autre concentrator à un moment donné. Lorsqu'un Concentrator fait partie d'un gang, il est également utilisé pour déterminer la façon dont les sessions des Decoders seront réparties au sein du gang. Les sessions des Decoders sont divisées en fragments de taille aggregate.sessions.max, puis les fragments sont uniformément répartis entre les Concentrators. Par exemple, aggregate.sessions.max correspond à 10 000, puis les sessions 1-9 999 passent aux premiers Concentrator et sessions 10 000-19 999 passent au deuxième concentrator. Tous les concentrators du gang doivent utiliser la même valeur pour aggregate.sessions.max.
conGangName/concentrator/
devices/<device>/config/
options,gang=<gang name>
Le nom du gang est utilisé pour déterminer l'appartenance à un gang particulier. Il peut y avoir un nombre illimité de gangs agrégés à partir d'un Decoder. Le paramètre gang est tout simplement un mécanisme qui permet au decoder d'identifier les concentrators qui travaillent ensemble. Tous les membres du gang doivent avoir le même nom de gang. Si le paramètre nom du gang n'est pas défini, l'agrégation des gangs sera désactivée. Le nom du gang peut être un identificateur de chaîne.
Taille du gang/concentrator/
devices/<device>/config/
options,gangSize=<number of devices
in gang>
Ce paramètre définit la taille du gang. Tous les Concentrators doivent avoir la même valeur pour la taille du gang. La taille du gang est illimitée.
ID de membre de gang/concentrator/
devices/<device>/config/
options,gangMember=<id number of
concentrator in gang>
Ce paramètre définit la position du concentrator dans le groupe. Pour les gangs de taille N, les ID des membres de gang de 0 à N-1 doivent être définis sur chacun des membres du gang. Par exemple, si la taille du gang est 2, un membre obtient l'ID de membre du gang 0 et l'autre reçoit l'ID de membre 1. Si la taille du gang est 3, alors les membres se voient attribuer les ID 0, 1 et 2.
Mode d'appartenance au gang/concentrator/
devices/<device>/config/
options,gangMembership=(new|replace)
Ce paramètre détermine comment ce Concentrator est capturé lorsque l'agrégation est démarrée pour la première fois. Le comportement par défaut est replace. Cela signifie que lorsque ce Concentrator commence l'agrégation, il est destiné à remplacer un membre d'un gang existant, ou tous les membres du gang sont en cours d'initialisation dans le même temps. Cela signifie que le Concentrator commence l'agrégation à partir de la session la plus ancienne disponible sur l'hôte à partir duquel l'agrégation est effectuée. Si ce paramètre est défini sur new, cela signifie que ce Concentrator est ajouté en tant que nouveau membre d'un groupe existant. Ce Concentrator ne tentera pas d'agréger toutes les sessions existantes du service. Les autres membres du groupe ont déjà agrégé toutes les sessions sur le service. Ce Concentrator n'agrègera que les nouvelles sessions telles qu'elles apparaissent sur le service.

Exemples 

Le tableau suivant affiche un exemple de paramètres d'un gang composé de deux membres avec l'ID de gang foo.

                    
ParamètreConcentrator 0Concentrator 1
aggregate.max.sessions 10 000 10 000
device options gang=foo gangSize=2
gangMember=0
gang=foo gangSize=2
gangMember=1


Le tableau suivant affiche un exemple de paramètres d'un gang composé de trois membres avec l'ID de gang baz.

                    
ParamètreConcentrator 0Concentrator 1
aggregate.max.sessions 10 000 10 000
device options gang=baz gangSize=3
gangMember=0
gang=baz gangSize=3
gangMember=2

Taille du cluster

Lorsque la division des sessions d'un cluster doit changer, que ce soit pour augmenter ou réduire la taille du cluster, vous devez basculer à l'état hors ligne. À l'état hors ligne, tous les membres doivent être mis à jour pour avoir le même paramètre gangSize. L'hôte de remplacement agrège uniquement sa fraction de sessions. De la même façon, il est possible de réinitialiser et de réagréger les données de tout membre du cluster à n'importe quel moment sans que cela ait d'impact sur les autres membres du cluster.

Membre de cluster

Un membre de cluster peut être remplacé à tout moment en définissant le paramètre gangMember de l'hôte de remplacement comme étant identique au paramètre gangMember de l'ancien hôte. L'hôte de remplacement agrège uniquement sa fraction de sessions. De la même façon, il est possible de réinitialiser et de réagréger les données de tout membre du cluster à n'importe quel moment sans que cela ait d'impact sur les autres membres du cluster.

You are here
Table of Contents > Archiver : Agrégation de groupes

Attachments

    Outcomes