IPDB : Vue Configuration des services - Configuration d'IPDB Extractor

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique décrit les paramètres de configuration de l'onglet Général pour le service IPDB Extractor. L'onglet Général de la vue Configuration des services correspondant à un IPDB Extractor permet de gérer la configuration du service, de paramétrer l'extraction de données et de sélectionner les parsers appliqués aux données récupérées.

  1. Dans le menu Security Analytics, sélectionnez Administration > Services.
  2. Dans la vue Services, sélectionnez le service IPDB Extractor.
  3. Dans la colonne Actions, cliquez sur   > Vue > Config.

    La vue Configuration des services s'ouvre sur l'onglet Général du service IPDB Extractor.

Configuration système

La section Configuration système gère le paramétrage d'un service. Lorsqu'un service est ajouté pour la première fois, les valeurs par défaut s'appliquent. Vous pouvez modifier ces valeurs pour optimiser les performances.

La Configuration système dispose des paramètres suivants.

                             
ParamètreDescription :
Compression

Le nombre minimum d'octets devant être transmis par réponse avant la compression. Le paramètre 0 désactive la compression. La valeur par défaut est 0.

La modification d'une valeur prend effet immédiatement pour toutes les connexions suivantes.

Port

Port d'écoute du service. Les ports par défaut sont les suivants :

  • 50001 pour les Log Collectors
  • 50002 pour les Log Decoders
  • 50003 pour les Brokers
  • 50004 pour les Decoders
  • 50005 pour les Concentrators
  • 50007 pour les autres services

Le port par défaut du service IPDB Extractor est 50025.

SSL En cas d'activation (on), la sécurité de la transmission des données est gérée par le chiffrement des informations et l'authentification avec les certificats SSL. La valeur par défaut est off.
Intervalle de mise à jour des statistiques

Nombre de millisecondes entre les mises à jour statistiques sur le système. Les petites valeurs engendrent des mises à jour plus fréquentes et peuvent ralentir d'autres processus. La valeur par défaut est 1 000.

La modification de la valeur prend effet immédiatement.

Threads

Nombre de threads dans le pool de threads permettant de gérer les requêtes entrantes. Le paramètre 0 laisse le système décider. La valeur par défaut est 15.

Les modifications prendront effet au redémarrage du service.

Configuration d'IPDB Extractor

Les paramètres du panneau Configuration d'IPDB Extractor permettent de gérer le paramétrage du service IPDB Extractor. Lorsque vous ajoutez un service IPDB Extractor, les valeurs par défaut s'appliquent. Les valeurs par défaut proposées par RSA s'adaptent à la plupart des environnements et il est recommandé de ne pas modifier ces valeurs car cela pourrait avoir un impact négatif sur les performances.

Les paramètres qui définissent et optimisent l'extraction de données englobent les suivants :

  • Paramètres d'Extractor
  • Paramètres des requêtes

Paramètres d'Extractor

Le tableau suivant décrit les paramètres d'Extractor.

                                                             
NameValeur de configuration
Taille du tampon (Mo)Taille du tampon d'extraction des données (en Mo). La valeur par défaut est 1. Il faut redémarrer le service IPDB Extractor après avoir apporté des modifications pour que cette valeur soit prise en compte.
Mappage de l'emplacement de stockage sur le point de montageRéservé à un IPDB avec plusieurs emplacements de stockage. Si un IPDB compte plusieurs emplacements de stockage, il convient de les mapper sur les points de montage correspondants pour que le service IPDB Extractor puisse extraire des données. Par exemple : \\1.1.1.1\vol1\nic\lsnode\LSIPDB-LC1~storage1,\\1.1.1.1\vol2\nic\lsnode\LSIPDB-LC1~storage2 Il faut redémarrer le service IPDB Extractor après avoir apporté des modifications pour que cette valeur soit prise en compte.
Nbre de tamponsNombre de tampons d'extraction de données. Les valeurs valides sont comprises entre 1 et 4. La valeur par défaut est 4 tampons. Il faut redémarrer le service IPDB Extractor après avoir apporté des modifications pour que cette valeur soit prise en compte.
Nbre de tampons dans le poolNombre d'éléments dans le pool de tampons disponibles. Les valeurs valides vont de 500 à 700. La valeur par défaut est 500 tampons. Il faut redémarrer le service IPDB Extractor après avoir apporté des modifications pour que cette valeur soit prise en compte.
Nbre de demandes dans le poolNombre d'éléments dans le pool de demandes. Les valeurs valides vont de 500 à 6 000. La valeur par défaut est 500 demandes. Il faut redémarrer le service IPDB Extractor après avoir apporté des modifications pour que cette valeur soit prise en compte.
Nbre de threads dans le poolNombre d'éléments dans le pool de threads. Les valeurs valides vont de 50 à 200. La valeur par défaut est 50 threads. Il faut redémarrer le service IPDB Extractor après avoir apporté des modifications pour que cette valeur soit prise en compte.
Threads d'analyseNombre de threads utilisés lors de l'analyse des sessions.  Pour être valide, la valeur doit être un nombre.  La valeur par défaut est 0 thread d'analyse.  Si vous définissez la valeur 0, le serveur détermine le nombre de threads en fonction du volume de données. Il faut redémarrer le service IPDB Extractor après avoir apporté des modifications pour que cette valeur soit prise en compte.
URI de transportAdresse URI (Uniform Resource Identifier) de transport utilisée pour assurer la communication entre le client IPDB et le serveur IPDB Extractor.  La valeur par défaut est vives://127.0.0.1:50009. Il faut redémarrer le service IPDB Extractor après avoir apporté des modifications pour que cette valeur soit prise en compte.
Threads de travail de transportNombre de threads de travail permettant de traiter les demandes de transport du client. Il faut redémarrer le service IPDB Extractor après avoir apporté des modifications pour que cette valeur soit prise en compte.
Utiliser Bloom L1

Utiliser Bloom L1 pour accélérer l'extraction de données à partir d'IPDB.  Si l'index du filtre de Bloom est activé pour une méta et si les logs d'événements contiennent la métavaleur demandée dans la requête du rapport, alors les fichiers de données correspondants sont lus. Sinon, ils sont ignorés. Cette option est activée par défaut (Utiliser Bloom L1).

Remarque : Le package de contenu datant d'août 2013 (ou version ultérieure) doit être installé pour pouvoir spécifier les options Utiliser Bloom L1 et Utiliser Bloom L2.

Utiliser Bloom L2Utiliser Bloom L2 pour accélérer l'extraction de données à partir d'IPDB. Si l'index du filtre de Bloom est activé pour une méta et si les logs d'événements contiennent la métavaleur demandée dans la requête du rapport, alors les fichiers de données correspondants sont lus. Sinon, ils sont ignorés. Cette option est activée par défaut (Utiliser Bloom L2).
Utiliser l'indexation L2Utiliser l'indexation L2 lors de l'extraction de données à partir d'IPDB. Cette option est activée par défaut (Utiliser l'indexation L2).
Utiliser le filtre SqliteAppliquer le filtre Sqlite aux événements. Cette option est activée par défaut (Utiliser le filtre Sqlite).

Paramètres des requêtes

Le tableau suivant décrit les paramètres des requêtes IPDB Extractor.

                 
NameValeur de configuration
Limite d’inactivité de requêteDélai (en secondes) que doit respecter Security Analytics entre deux extractions de données avant de fermer une requête.  La valeur par défaut est 3 600.
Intervalle d'état de requêteDélai (en secondes) que doit respecter Security Analytics entre deux mises à jour des statistiques de requête. Pour être valide, la valeur doit être comprise entre 1 et 200. La valeur par défaut est 10.  Security Analytics reprend la valeur de l'option Intervalle de mise à jour des statistiques figurant dans la vue Profil > panneau Préférences > onglet Général si le paramètre Intervalle d'état de requête est inférieur à Intervalle de mise à jour des statistiques.

Configuration des analyseurs

Le panneau Configuration des analyseurs permet de sélectionner les parsers à utiliser sur le service IPDB Extractor.

Le tableau décrit les fonctions de la section Configuration des analyseurs.

                 
FonctionnalitéDescription :
Name Nom des parsers disponibles dans IPDB Extractor. Le signe plus indique que les métadonnées générées par l'analyseur sont configurables. Lorsque vous cliquez sur le signe plus, les métadonnées que l'analyseur peut créer s'affichent.
Valeur de configuration Une case à cocher permet d'activer ou de désactiver l'analyseur ou les métadonnées. Lorsque cette case est cochée, le service IPDB Extractor filtre le trafic à l'aide de l'analyseur. Dans le cas contraire, l'IPDB Extractor n'utilise pas l'analyseur. Si les métadonnées générées sont configurables, une case à cocher détermine celles que l'analyseur doit créer.

Configuration des analyseurs de servicess

Le panneau Configuration des analyseurs de services permet de sélectionner les parsers à utiliser sur le service IPDB Extractor.

You are here
Table of Contents > Vue Configuration des services - Configuration d'IPDB Extractor

Attachments

    Outcomes