Reporting : Directives de reporting

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique répertorie les directives recommandées par RSA pour améliorer la durée d'exécution de vos entités de reporting. Cette rubrique affiche les instructions recommandées par RSA pour améliorer la durée d'exécution de vos entités de reporting telles que les règles, les rapports, les alertes, les graphiques et les listes. Des instructions sont fournies pour les rubriques suivantes :

  • Règles NWDB
  • Configuration du délai d'expiration des règles NWDB
  • Action de la règle LookupAndAdd
  • Rapports de valeur de liste

Règles NWDB

Si les entités de reporting (rapports, alertes ou graphiques) contiennent des règles NWDB (dans la plupart des cas où la requête contient Group By), le processus mettra beaucoup de temps à s'exécuter, et dans ce cas, vous pourrez effectuer les opérations suivantes : 

  1. Affiner la clause WHERE : 
    Vous pouvez limiter le nombre de sessions analysées en utilisant ou affinant la clause WHERE (en particulier lorsque vous utilisez l'option Group By). Envisageons le scénario suivant :


    Si vous utilisez une clause WHERE comme mentionné ci-dessus, le nombre de sessions agrégées sera énorme. Pour éviter cela, vous pouvez filtrer les sessions uniquement requises en spécifiant la liste des adresses IP ou la création d'une liste (liste des adresses IP) qui contient les adresses IP pertinentes.

     
  2. Utilisation des clés META indexées dans la clause WHERE :
    Pour savoir si le META est indexé ou non, placez la souris sur la clé META. Si la valeur est du type INDEX_VALUE, le META est indexé. La valeur est du type INDEX_KEY ou INDEX_NONE si le META n'est pas indexé. 

    Voici un aperçu d'une clé META qui est indexée.

     
  3. Configurer l'option Timeout :
    Si la requête met beaucoup de temps à s'exécuter et échoue en raison d'un problème d'expiration du délai, configurez le délai d'attente pour les exécutions de la règle NWDB. Pour plus d'informations, reportez-vous à la rubrique Configuration du délai d'expiration des règles NWDB qui figure ci-après.  
  4. Planifier les requêtes pour qu'elles s'exécutent à des moments différents :
    Si plusieurs agrégats de requête sont exécutés simultanément et que la temporisation se déclenche, vous pouvez planifier les requêtes pour qu'elles s'exécutent à des moments différents, sans trop de chevauchement. 

Configuration du délai d'expiration des règles NWDB

Remarque : Il est conseillé de vérifier les statistiques du Reporting Engine et des sources de données NWDB avant de modifier la configuration. Pour plus d'informations, reportez-vous à la section Contrôler les appliances et les services pour Reporting Engine, et à la section Contrôler les statistiques du système dans le Guide de maintenance du système.   

Si l'exécution de la règle NWDB échoue en raison du délai d'expiration, les erreurs suivantes peuvent s'afficher sur la page Afficher un rapport : 

  • Erreur liée à l'expiration du délai d'exécution du Reporting Engine
    • « Data source ‘10.31.x.x Concentrator' did not respond within the configured time 30 minutes for the ‘/sdk/values' request. » 
  • Erreur liée à l'expiration du délai d'exécution d'une source de données NWDB
    • « Error occurred while fetching data from source '10.31.x.x Concentrator'. {Timeout message from NWDB} »
  • Dans ce cas, procédez comme suit :

    • Expiration du délai d'exécution du Reporting Engine 
      En cas d'expiration du délai d'exécution du Reporting Engine, vous pouvez définir un délai d'une durée plus longue de sorte que les requêtes longues puissent être exécutées. Pour plus d'informations sur la configuration des options NWDB Queries Time Out et NWDB Info Queries Time Out pour le Reporting Engine, reportez-vous à la section Configurer les paramètres du Reporting Engine dans le Guide de configuration de l'hôte et des services. RSA vous recommande de définir l'option NWDB Query Time Out sur zéro minute (pas de délai) et l'option NWDB Info Queries Time Out sur 60 minutes. 
    • Délai d'expiration NWDB 
      En cas d'expiration du délai NWDB, vous pouvez configurer les paramètres query.level.timeout et max.concurrent.queries pour la source de données NWDB basée sur les recommandations de la section Optimisation de la base de données dans le Guide de configuration de l'hôte et des services en vue d'affiner les requêtes.

      Voici un snapshot de la vue Explorer qui vous permet de définir les paramètres de la source de données NWDB. 
    • Planifier des rapports à des moments différents
      Si les périphériques de base NWDB sont lourdement sollicités, vous pouvez planifier l'exécution des rapports à des moments différents, sans chevauchement. 
    • Fractionner le rapport
      Si votre rapport contient de nombreuses règles, fractionnez le rapport en plusieurs rapports contenant chacun un ensemble logique de règles. Si vous avez plusieurs règles, toutes les règles vont commencer à s'exécuter en même temps, sur la base de threads disponibles, donc vous pouvez regrouper les règles de manière logique dans des rapports distincts. 

Action de la règle LookupAndAdd

Si une règle composée d'une ou de plusieurs actions de règle lookup_and_add prend beaucoup de temps à exécuter le rapport, c'est parce que chaque action de règle déclenche plusieurs requêtes de recherche sur la source de données NWDB, ce qui implique un temps d'exécution plus long.

Pour améliorer le temps d'exécution des rapports, vous pouvez effectuer les opérations suivantes :  

  • Affiner la clause WHERE comme suit :
    • Règle contenant l'action de règle lookup_and_add
    • Action de règle lookup_and_add
  • Définir des limites
    Vous devez définir des limites appropriées pour la règle et les actions de la règle. Si la limite est élevée, cela se traduira par le déclenchement de nombreuses requêtes, et donc le rapport prendra beaucoup de temps à s'exécuter. 
  • Définir le paramètre booléen aggregate

    Si vous ne souhaitez pas de valeur d'agrégat, comme sum(meta), count(meta), etc. pour les valeurs de recherche, définissez le paramètre booléen aggregate sur false dans l'action de la règle lookup_and_add. Pour obtenir plus d'informations, consultez le Syntaxe des règles NWDB.

    lookup_and_add(string select, string field, int limit, boolean inherit, string extraWhere, boolean aggregate)

    Envisageons la règle contenant l'action de la règle lookup_and_add :

    lookup_and_add_agg_false_106.png

    La sortie s'affiche :

  • Chaque action de la règle lookup_and_add déclenche par défaut deux requêtes de recherche simultanées sur la source de données. RSA recommande de conserver la configuration par défaut, mais si vous souhaitez augmenter la valeur, vérifiez que la valeur du paramètre Max # of Concurrent LookupAndAdd Queries dans Reporting Engine est inférieure à la valeur Max Concurrent Queries dans la configuration de la source de données NWDB.
    Si la source de données NWDB est partagée entre d'autres services, alors vous pourrez conserver une faible valeur pour le paramètre Max # of Concurrent LookupAndAdd Queries dans Reporting Engine, car le fait de l'augmenter pourrait avoir un impact sur les requêtes issues d'autres services. Pour plus d'informations, consultez la section Onglet général du Reporting Engine dans le Guide de configuration de l'hôte et des services
  • Si vous êtes intéressé(e) uniquement par les valeurs uniques au lieu des valeurs agrégées précises, alors définissez le Session Threshold à une valeur non nulle pour la règle NWDB. Pour plus d’informations, voir le Définir une règle avec la source de données NetWitness. Plus la valeur est élevée, plus l'exécution de la règle est longue. Si la valeur est définie sur zéro, il faudra plus de temps, mais elle fournira des agrégats précis. 
    Envisagez une règle avec l'action de règle lookup_and_add et un seuil de session sur 10.


    La sortie s'affiche :

     

Rapports de listes de valeurs

Utiliser une liste affinée :

Dans le cas des rapports de listes de valeurs (pour n'importe quel type de source de données), les rapports individuels seront générés pour chaque valeur de la liste. Par conséquent, plus la liste contient de valeurs, plus les rapports prendront du temps à s'exécuter. De ce fait, vous devez utiliser une liste affinée pour produire ces rapports. 

You are here
Table of Contents > Présentation des rapports > Directives de reporting

Attachments

    Outcomes