Configuration d’ESA : Configurer le stockage ESA

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique explique comment configurer la base de données ESA afin de maintenir un niveau d'alerte sain. 

Cette procédure est facultative. Les administrateurs peuvent spécifier une période de rétention pour les alertes. La suppression d’anciennes alertes est recommandée comme bonne pratique pour la maintenance de la base de données d'alertes. Autrement, la base de données pourrait continuer à grossir et avoir éventuellement un impact négatif sur les performances.

Par défaut, la fonction de suppression automatique des alertes n'est pas activée car chaque société dispose de ses propres règles de fonctionnement. Cette rubrique vous apprend à effectuer les tâches suivantes :

  • Activer la suppression automatique des alertes
  • Spécifier des critères pour supprimer les alertes
    • En fonction de la taille de la base de données
    • En fonction de la durée d'existence des alertes
    • En fonction de la taille de la base de données et de la durée d'existence des alertes

Paramètres de configuration

Les paramètres de configuration sont les suivants :

                                             
ParamètreDescription
EnabledActive la fonction de rétention des alertes.
NextMaintenanceScheduledAt(Lecture seule) À la prochaine exécution planifiée de la maintenance. 
HaveAlertForDays(Lecture seule) Nombre réel de jours durant lesquels les alertes ont été stockées dans la base de données. Par exemple, si le nombre est constaté le 4 juin et que des alertes ont été générées tous les jours depuis le 1er juin, alors la valeur serait égale à 4. 
DatabaseDiskUsage(Lecture seule) Taille de base de données actuelle.
Planning Planification de l'exécution de la maintenance des alertes. La planification utilise l'onglet Cron UNIX et doit être spécifiée au format approprié de l'onglet Cron. La valeur par défaut s'affiche dans la procédure ci-après. Pour plus d'informations sur la planification Cron, reportez-vous au site http://www.cronmaker.com.
DatabaseDiskUsageLimtInMBSeuil de la taille de la base de données auquel les alertes sont supprimées lorsqu'il est atteint.
ValidParamètre de lecture seule indiquant si la configuration actuelle est valide. 
DaysToDeleteWhenLimitExceededNombre de jours à supprimer lorsque le paramètre DatabaseDiskUsageLmitInMB est dépassé.
KeepAlertsForDaysNombre de jours de conservation des alertes dans la base de données avant leur suppression.

Conditions préalables

Vous devez disposer des autorisations d'administrateur.

Procédure

  1. Connectez-vous à Security Analytics en tant qu'admin.
  2. Dans le menu Security Analytics, sélectionnez Administration > Services.
  3. Sélectionnez le service ESA, puis  Vue > Explorer.
  4. Sur la gauche, sélectionnez Alerte > Stockage > Maintenance.
  5. Dans le champ Activé, sélectionnez la valeur True pour activer la fonction de rétention des alertes.
  6. Configurez le mode de suppression des anciennes alertes :
  • En fonction de la taille de la base de données - Saisissez la taille maximale de la base de données dans DatabaseDiskUsageLimitInMB. Ensuite saisissez le nombre de jours à supprimer relatifs aux anciennes alertes dans DaysToDeleteWhenLimitExceeded. Par exemple, lorsque l'utilisation du disque atteint 5 120 Mo, supprimez les alertes les plus anciennes de 7 jours. 
  • En fonction de la durée d'existence des alertes - Toutes les alertes antérieures à KeepAlertsForDays sont supprimées.

Remarque : Pour Security Analytics 10.4.1 et version antérieure, vous devez utiliser le paramètre KeepAlertsForDays. Vous ne pouvez pas utiliser le paramètre DatabaseDiskUsageLimitInMB.

  • En fonction de la taille de la base de données et de la durée d'existence des alertes. Si vous configurez ces deux paramètres, la règle qui supprime le plus grand nombre est utilisée. 
  1. Schedule 
    Utilisez le paramètre Schedule pour indiquer à ESA la fréquence d'exécution de la tâche de maintenance de l'alerte (c'est-à-dire à quelle fréquence vérifier la base de données et appliquer les règles de suppression). Utilisez la syntaxe pour une tâche de planification Cron. Pour plus d’informations sur la planification Cron, reportez-vous à la rubrique http://www.cronmaker.com.
  2. Réinitialiser le navigateur.
  • Les date et heure de la prochaine exécution de maintenance s'affiche dans le champ NextMaintenanceScheduledAt
  • Dans le champ Valid, la valeur True s'affiche pour indiquer la configuration qui est valide.
    Si la valeur False est affichée, corrigez les paramètres de taille du disque ou de durée d'existence des alertes. 
  1. (Facultatif) L'état de maintenance peut également être surveillé dans le fichier /opt/rsa/esa/logs/esa.log sur l'hôte ESA, qui affiche des messages similaires à l'exemple ci-dessous.

Exemple 

L'état de maintenance peut également être surveillé dans le fichier /opt/rsa/esa/logs/esa.log sur le service ESA, qui affiche des messages similaires à l'exemple ci-dessous.
2015-03-12 09:46:48,197 [Carlos@65dd6c04-56] INFO com.rsa.netwitness.carlos.config.ConfigurationMXBean -
MongoStorageMaintenance changed by admin
2015-03-12 09:46:51,121 [scheduler_Worker-1] INFO
 com.rsa.netwitness.core.alert.dispatch.SQLStorageMaintenance - Starting the scheduled database maintenance
job with policy {keepAlertForDays=30, maxDiskUsageInMb=5120}
2015-03-12 09:46:51,122 [Carlos@3801f0b3-58] INFO
 com.rsa.netwitness.core.alert.dispatch.SQLStorageMaintenance - Scheduled a database maintenance job with
policy {keepAlertForDays=30, maxDiskUsageInMb=5120} to run at 2/28/15 2:00 AM
2015-03-12 09:46:51,129 [Carlos@3801f0b3-58] INFO com.rsa.netwitness.carlos.config.ConfigurationMXBean -
MongoStorageMaintenance changed by admin
2015-03-12 09:46:51,133 [scheduler_Worker-1] INFO
 com.rsa.netwitness.core.alert.dispatch.SQLStorageMaintenance - Finished the database maintenance job,
deleted 0 partitions, next run scheduled at 3/14/15 2:00 AM

You are here
Table of Contents > Procédures ESA supplémentaires > Configurer le stockage ESA

Attachments

    Outcomes