Alertes : Afficher les metrics de mémoire pour les règles avec le mode d'essai

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique indique aux writers de la règle ESA comment afficher des metrics de mémoire lorsque le seuil de mémoire configuré pour les règles d'évaluation est dépassé.  Si le seuil de mémoire est dépassé, vous pouvez configurer un instantané de l'utilisation de la mémoire pour les règles ESA au moment où les règles d'évaluation sont désactivées. Cela vous permet d'enquêter sur l'utilisation de la mémoire et de modifier les règles afin d'être plus efficace.

Lorsque vous configurez des règles d'évaluation et que vous activez la fonction Instantané de la mémoire, si le seuil de mémoire est dépassé, toutes les règles d'évaluation sont désactivées et un instantané de l'utilisation de la mémoire de toutes les règles ESA est pris au moment de la désactivation. Cela vous permet de voir la quantité de mémoire utilisée, de telle sorte que vous pouvez modifier vos règles ESA pour davantage d'efficacité. L'instantané de la mémoire peut être affiché dans le navigateur Stat. système d'intégrité, vous aurez donc besoin d'autorisations pour accéder à ce module. Une fois que vous affichez les détails dans le navigateur Stat. système, vous pouvez modifier la syntaxe de la règle d'évaluation et réactiver les règles d'essai.

À un niveau élevé, vous devrez suivre les étapes suivantes pour utiliser l'instantané de mémoire afin de résoudre les problèmes d'utilisation de la mémoire pour les règles :

  1. Activez les règles d'évaluation des nouvelles règles que vous déployez. Voir Déployer des règles en tant que règles d'évaluation.
  2. Assurez-vous que vous avez configuré les politiques d'intégrité de ESA pour envoyer un e-mail si les seuils de mémoire sont dépassés.
  3. Vérifiez que vous disposez des autorisations nécessaires pour afficher le module Intégrité. Pour plus d'informations sur les rôles et autorisations, consultez Autorisations du rôle.
  4. Assurez-vous que la fonction Instantané de la mémoire est activée (via le paramètre EnabledCaptureSnapshot par l'intermédiaire de SA Explorer). La fonction Instantané de la mémoire est désactivée par défaut. Reportez-vous à la section « Activation et désactivation de la fonction Instantané de la mémoire » ci-dessous.  RSA vous recommande de désactiver la fonction lorsque vous aurez terminé les tests de nouvelles règles.
  5. Affichez les statistiques de seuil de mémoire dans Intégrité si le seuil de mémoire est déclenché pour les règles d'évaluation.
  6. Modifiez la règle ou les règles qui ont déclenché l'alarme. À titre de bonnes pratiques pour la rédaction des règles, consultez la section Bonnes pratiques.
  7. Réactivez les règles d'évaluation qui ont été désactivées lorsque le seuil de la mémoire a été déclenché. Pour obtenir des instructions sur la réactivation des règles d'évaluation sur un service, consultez la section Afficher les statistiques et alertes ESA.
  8. Continuez à tester les règles d'évaluation. 

Remarque : Comme tout outil de débogage, il peut y avoir des temps système exceptionnels associés à l'utilisation de la fonction Instantané de la mémoire. En prenant activement un instantané, la fonction Instantané de la mémoire peut ajouter des délais à vos services ESA. Le service ESA cesse de générer des alertes tout en prenant un instantané. RSA vous recommande de désactiver la fonction lorsque vous terminez les tests de nouvelles règles. Si vous désactivez la fonction Instantané de la mémoire, les règles d'évaluation seront toujours désactivées lorsque l'utilisation de la mémoire dépassera les seuils configurés. L'instantané ne sera pas pris et les statistiques ne figureront pas dans le navigateur Stat. système d'intégrité.

Conditions préalables

Voici les exigences pour afficher les metrics de mémoire :

  • Une ou plusieurs règles ESA doivent être configurées comme règle d'évaluation.
  • La fonction Instantané de la mémoire doit être activée (via le paramètre EnabledCaptureSnapshot par l'intermédiaire de SA Explorer).
  • L'utilisateur doit disposer des autorisations appropriées pour afficher les statistiques d'intégrité. 
  • L'utilisateur doit avoir configuré la politique d'intégrité de ESA pour envoyer un e-mail lorsque les seuils de mémoire sont dépassés.

Procédures

Afficher les metrics de mémoire

  1. Dans le menu Security Analytics, accédez à Administration > Intégrité > Navigateur Stat. système.
  2. Pour le composant, sélectionnez Event Stream Analysis. Pour la catégorie, saisissez ESA-Metrics

HW-Mem_metrics.png

Le nom de la règle s'affiche dans le champ Sous-élément et l'utilisation de la mémoire s'affiche dans la colonne Valeur

Remarque : Le champ Dernière mise à jour indique quand Intégrité interroge ESA. Toutefois, l'instantané de mémoire se produit uniquement lorsque les seuils de mémoire sont dépassés, par conséquent, ce champ ne reflète pas le moment où l'instantané a été pris ou mis à jour. L'instantané reste statique jusqu'à ce que le seuil de mémoire soit à nouveau atteint. Par exemple, si le seuil de mémoire est dépassé le 10/10/15 à 12h00, mais si Intégrité interroge le 10/10/15 à 15h00, le champ Dernière mise à jour affiche la date du 10/10/15 à 15h00. 

Activer ou désactiver la fonction d'instantané de la mémoire

  1. Dans le menu Security Analytics, sélectionnez Administration Services, puis sélectionnez votre ESA. 
  2. Une fois votre ESA sélectionné, cliquez sur Actions > Afficher > Explorer, puis naviguez vers les metrics CEP comme illustré ci-dessous. 

    Enable_Mem_Snapshot.png
  3. Modifiez le champ EnabledCaptureSnapshot sur true ou false si souhaitez activer ou désactiver la fonction d'instantané de la mémoire. 
You are here
Table of Contents > Utiliser les règles d'évaluation > Afficher les metrics de mémoire pour les règles avec le mode d'essai

Attachments

    Outcomes