Configurer ESA pour utiliser l'ordonnancement temporel des captures

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique indique aux administrateurs comment configurer ESA afin d'utiliser l'ordonnancement temporel des captures lors de l'utilisation de deux ou plusieurs services Concentrator en tant que sources. 

Par défaut, ESA utilise l'horodatage ESA (heure à laquelle les événements sont reçus par ESA) pour corréler les événements. Cependant, ESA prend également en charge l'ordonnancement des sessions en fonction de l'heure de capture (heure à laquelle le paquet ou l'événement de log a atteint les services Decoder). Cette fonctionnalité est utile si vous mettez en corrélation des événements issus d'au moins deux Concentrators. Lorsque vous avez deux ou plusieurs services Concentrator comme sources, l'ordonnancement temporel vérifie que leurs sessions sont corrélées entre elles par heure de capture. Ainsi, vous avez l'assurance que les sessions capturées simultanément sont corrélées et que les alertes sont conformes aux attentes des utilisateurs, même avec des retards de transmission. Si l'une des sources se déconnectent ou est lente à envoyer des sessions, ESA fait une pause pour vérifier que les sessions avec les mêmes horodatages de capture sont corrélées conjointement.

Par exemple, vous avez deux sources avec des événements qui se produisent à 10h00. Grâce à l'ordonnancement temporel des captures, ces événements sont conservés en mémoire tampon jusqu'à ce que ESA détecte que tous les événements qui se produisent à 10:00 ont été ajoutés à la mémoire tampon. Une fois que tous les événements sont arrivés, les événements sont ensuite traités en utilisant des règles EPL. Cela garantit que la règle dispose de tous les événements avec le même horodatage à partir de différentes sources afin d'obtenir des résultats corrects. Si, par exemple, un service Concentrator a du retard par rapport à un autre, ESA fait une pause jusqu'à ce que tous les événements soient horodatés à 10h00 sur les deux sources avant d'exécuter les règles EPL sur les événements. 

Attention : Bien que cette fonctionnalité accroît la précision, elle a un impact sur les performances. La configuration par défaut de ESA s'assure que les données sont constamment en streaming, mais parce que l'ordonnancement temporel des captures utilise une mémoire tampon, il faut plus de temps pour traiter les événements. Cela est particulièrement vrai si ESA doit faire une pause pendant une certaine durée en attendant le remplissage de la mémoire tampon. Vous pouvez configurer plusieurs paramètres (voir ci-dessous) pour gérer cette situation ; cependant, il peut encore y avoir un impact sur les performances. 

Cette fonction est désactivée par défaut.

Workflow d'ordonnancement temporel des captures

Le schéma suivant illustre le workflow lorsque l'ordonnancement temporel des captures est activé. 

  1. Les événements sont horodatés au fur et à mesure qu'ils sont capturés par le service Decoder.
  2. Après le traitement Concentrator, les événements sont mis en mémoire tampon et ordonnancés. La taille de la mémoire tampon est calculée via deux paramètres MaxEPSExpectedPerSource  (volume maximal du traffic (EPS) envisagé par source pour que ESA reçoivent les heures) et TimeOrderHoldWindow (période autorisée pour recevoir les événements issus de toutes les sources).
  3. Les événements ordonnancés sont alors corrélés correctement dans les règles EPL. 

Conditions préalables

Deux ou plusieurs services Concentrator doivent être configurés en tant que sources de données dans ESA.

Lorsque le paramètre StreamEnabled est défini sur true, il est important que toutes les machines exécutant les services de base soient en mode synchronisation NTP. 

Procédures

Les procédures suivantes vous indiquent comment activer et configurer l'ordonnancement temporel des captures.

Activer la mise en mémoire cache et l'ordonnancement temporel des captures

Remarque : Après une mise à niveau ou dans un environnement EPS de haut niveau, vous devez rajouter les sources de données pour commencer à percevoir les avantages. Ou, vous devez attendre que les sessions rattrapent leur retard avant d'activer l'ordonnancement temporel des captures.

  1. Dans le menu Security Analytics, sélectionnez Administration > Services. Sélectionnez le service ESA, puis  > Vue > Explorer
  2.  Accédez à Workflow > Source nextgenAggregationSource.
  3. Définissez l'attribut StreamEnabled sur true.  StreamEnabled permet à ESA de mettre en mémoire tampon les événements reçus des services Concentrator.
  4. Définissez l'attribut TimeOrdered sur true. Cela permet aux évènements horodatés d'être ordonnancés en fonction de l'horodatage du service Concentrator.

Configurer l'ordonnancement temporel des captures

Lorsque vous utilisez l'ordonnancement temporel des captures, vous devez configurer plusieurs autres paramètres pour garantir les performances. Le tableau ci-dessous présente les paramètres et leur description. La configuration de ces paramètres nécessite la connaissance de votre volume et de votre taux de trafic.

Remarque : Si vous ne connaissez pas votre volume de trafic ou sa latence, consultez votre représentant des Services professionnels avant de configurer cette fonctionnalité.

                   
MaxEPSExpectedPerSource

Spécifie le volume maximal de trafic (EPS ou événements par seconde) correspondant à la capacité souhaitée de réception du service ESA basée sur votre source la plus occupée (par exemple, si une source reçoit 20 K EPS, et une autre reçoit 25 K EPS, définissez la valeur sur 25K EPS).

Si vous définissez ce taux trop bas, il y aura un impact à court terme sur les performances. Cependant, ESA augmente automatiquement la valeur de MaxEPSExpectedPerSource en fonction des besoins afin de progresser en mode Ordonnancement temporel.

La valeur par défaut est 20K

TimeOrderHoldWindow

Indique en secondes (nombres entiers) la durée autorisée de réception des événements en provenance de toutes les sources. 

Configurez cette valeur sur la base du temps de latence entre les sources.

La valeur par défaut est 2 secondes. La diminution de cette valeur peut augmenter le risque de suppression d'événements. L'augmentation de cette valeur peut réduire les performances système car la mémoire est plus sollicitée. 

IdleSourceAdvanceAfterSeconds

Spécifie l'intervalle (en secondes), après lequel ESA traite une source en veille (aucun événement issu de la source, mais la source n'est pas hors ligne) en dehors de l'équation pour permettre la progression d'un flux avec ordonnancement temporel des captures. La valeur par défaut est 0, ce qui signifie que ESA attend indéfiniment l'arrivée d'événements.

OfflineSourceAdvanceAfterSeconds

Spécifie l'intervalle (en secondes), après lequel ESA traite une source hors ligne en dehors de l'équation pour permettre la progression d'un flux avec ordonnancement temporel des captures. La valeur par défaut est 0, ce qui signifie que ESA patiente indéfiniment. Ce paramètre n'a pas d'incidence sur les tentatives de reconnexion ; elles s'effectuent dans tous les cas.

Conseils de résolution des problèmes

Grâce à cette fonctionnalité, il est possible de faire face à une situation où les événements sont retardés. Pour résoudre ce problème, vous pouvez effectuer l’une des opérations suivantes :

Désactiver l'ordonnancement temporel des captures

  1. Dans le menu Security Analytics, sélectionnez Administration > Services. Sélectionnez le service ESA, puis  > Vue > Explorer. 
  2.  Accédez à Workflow  > Source > nextgenAggregationSource.
  3. Définissez l'attribut StreamEnabled sur false. 
  4. Définissez l'attribut TimeOrdered sur false. 

Si vous désactivez l'ordonnancement temporel des captures, vous perdrez les données en attente d'émission et les événements ne seront plus ordonnancés en fonction de l'heure de capture. 

Désactiver le suivi de position

Le suivi de position permet à ESA de localiser le point d'arrêt du traitement des événements en cas d'arrêt ou de panne. Le suivi de position est activé par défaut avec l'ordonnancement temporel des captures. Si vous désactivez le suivi de position, ESA peut alors ignorer les événements retardés. Par exemple, si ESA connaît une défaillance à 07h00, et que vous le redémarrez à 11h00 avec le suivi de position désactivé, ESA commencera le traitement des événements ayant eu lieu à 10h55. Avec le suivi de position activé, ESA reprendra le traitement des événements au point où il s'est arrêté.

  1. Dans le menu Security Analytics, sélectionnez Administration  > Services. Sélectionnez le service ESA, puis  > Vue Explorer
  2.  Accédez à Workflow Source nextgenAggregationSource.
  3. Définissez l'attribut PositionTrackingEnabled sur false. 

Si vous désactivez le suivi de position, vous perdrez les données consignées, mais par la suite, les événements seront ordonnancés en fonction de l'heure des captures. 

You are here
Table of Contents > Procédures ESA supplémentaires > Configurer ESA pour utiliser l'ordonnancement temporel des captures

Attachments

    Outcomes