Configuración de ESA: Configurar el almacenamiento de ESA

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se explica cómo configurar la base de datos de ESA para mantener un nivel adecuado de alertas. 

Este procedimiento es opcional. Los administradores pueden especificar un período de retención para las alertas. La eliminación de alertas antiguas constituye una mejor práctica para mantener la base de datos de alertas. De lo contrario, la base de datos puede continuar creciendo y tener, a la larga, un impacto negativo en el rendimiento.

De manera predeterminada, la función para eliminar automáticamente las alertas no está habilitada porque cada empresa tiene sus propias políticas. En este tema se enseña cómo realizar las siguientes tareas:

  • Habilitar la eliminación automática de alertas
  • Especificar criterios para eliminar alertas
    • Por tamaño de la base de datos
    • Por antigüedad de las alertas
    • Por tamaño de la base de datos y antigüedad de las alertas

Parámetros de configuración

Los parámetros de configuración son los siguientes:

                                             
ParámetroDescripción
ActivadoActiva la función de retención de alertas.
NextMaintenanceScheduledAt(Solo lectura) Cuando está calendarizada la ejecución del mantenimiento siguiente. 
HaveAlertForDays(Solo lectura) Cantidad actual de días que las alertas se han almacenado en la base de datos. Por ejemplo, si este número se comprueba el 4 de junio y se generaron alertas a diario a partir del 1 de junio, el valor sería 4. 
DatabaseDiskUsage(Solo lectura) Tamaño actual de la base de datos.
Calendario Calendario para ejecutar el mantenimiento de la alerta. La calendarización usa la pestaña Cron de UNIX y se debe especificar en el formato correcto de la pestaña Cron. El valor predeterminado se muestra en el siguiente procedimiento. Para obtener más información acerca de la calendarización de Cron, consulte http://www.cronmaker.com.
DatabaseDiskUsageLimtInMBUmbral de tamaño de la base de datos; cuando se supera, las alertas se eliminarán.
ValidParámetro de solo lectura que indica si la configuración actual es válida. 
DaysToDeleteWhenLimitExceededCantidad de días cuyas alertas se eliminan cuando se supera DatabaseDiskUsageLmitInMB.
KeepAlertsForDaysCantidad de días que se conservan las alertas en la base de datos antes de que se eliminen.

Requisitos previos

Debe tener permisos de administrador.

Procedimiento

  1. Inicie sesión en Security Analytics como administrador.
  2. En el menú de Security Analytics, seleccione Administration > Servicios.
  3. Seleccione el servicio ESA y elija  Ver > Explorar.
  4. En el lado izquierdo, seleccione Alerta > Almacenamiento > mantenimiento.
  5. En el campo Activado, seleccione verdadero para activar la función de retención de alertas.
  6. Configure cómo desea que se eliminen las alertas antiguas:
  • Por tamaño de la base de datos: escriba el tamaño máximo de la base de datos en DatabaseDiskUsageLimitInMB. A continuación, escriba cuántos días de las alertas más antiguas se eliminarán en DaysToDeleteWhenLimitExceeded. Por ejemplo, cuando el uso del disco alcance 5120 MB, elimine siete días de las alertas más antiguas. 
  • Por antigüedad de las alertas: se eliminan todas las alertas más antiguas que KeepAlertsForDays.

Nota: Para Security Analytics 10.4.1 y anteriores, debe usar KeepAlertsForDays. No puede usar DatabaseDiskUsageLimitInMB.

  • Por tamaño de la base de datos y antigüedad de las alertas. Si configura ambos parámetros, se usa cualquiera de las reglas que elimine la mayor cantidad de días. 
  1. Calendario 
    Use el parámetro Calendario para indicar a ESA la frecuencia de ejecución del trabajo de mantenimiento de alertas (es decir, con qué frecuencia se comprueba la base de datos y se aplican las reglas de eliminación). Use la sintaxis de un trabajo de programación de Cron. Para obtener más información acerca de la programación de Cron, consulte http://www.cronmaker.com.
  2. Actualice el navegador.
  • La fecha y la hora de la siguiente ejecución de mantenimiento se muestra en el campo NextMaintenanceScheduledAt
  • En el campo Válido se muestra verdadero para indicar que la configuración es válida.
    Si se muestra falso, corrija las configuraciones de tamaño del disco o antigüedad de las alertas. 
  1. (Opcional) El estado del mantenimiento también se puede monitorear en el archivo /opt/rsa/esa/logs/esa.log en el host de ESA, el cual mostrará mensajes similares al ejemplo siguiente.

Ejemplo

El estado del mantenimiento también se puede monitorear en el archivo /opt/rsa/esa/logs/esa.log en el servicio de ESA, el cual mostrará mensajes similares al ejemplo siguiente.
2015-03-12 09:46:48,197 [Carlos@65dd6c04-56] INFO com.rsa.netwitness.carlos.config.ConfigurationMXBean -
MongoStorageMaintenance changed by admin
2015-03-12 09:46:51,121 [scheduler_Worker-1] INFO
 com.rsa.netwitness.core.alert.dispatch.SQLStorageMaintenance - Starting the scheduled database maintenance
job with policy {keepAlertForDays=30, maxDiskUsageInMb=5120}
2015-03-12 09:46:51,122 [Carlos@3801f0b3-58] INFO
 com.rsa.netwitness.core.alert.dispatch.SQLStorageMaintenance - Scheduled a database maintenance job with
policy {keepAlertForDays=30, maxDiskUsageInMb=5120} to run at 2/28/15 2:00 AM
2015-03-12 09:46:51,129 [Carlos@3801f0b3-58] INFO com.rsa.netwitness.carlos.config.ConfigurationMXBean -
MongoStorageMaintenance changed by admin
2015-03-12 09:46:51,133 [scheduler_Worker-1] INFO
 com.rsa.netwitness.core.alert.dispatch.SQLStorageMaintenance - Finished the database maintenance job,
deleted 0 partitions, next run scheduled at 3/14/15 2:00 AM

You are here
Table of Contents > Procedimientos adicionales de ESA > Configurar el almacenamiento de ESA

Attachments

    Outcomes