アラート:評価版モードでのルールのメモリ メトリックの表示

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、ESAルールを記述する担当者を対象に、評価版ルールに構成されているメモリの閾値を超えた場合のメモリ メトリックの表示方法について説明します。メモリの閾値を超えた場合、評価版ルールが無効になった時点でのESAルールのメモリ使用量について、スナップショットを作成するよう構成できます。これによってメモリの使用量を調査して、より効率的になるようルールを編集することができます。

評価版ルールを構成したときにメモリ スナップショット機能を有効にすると、メモリの閾値を超過した場合にすべての評価版ルールが無効になり、無効になった時点ですべてのESAルールのメモリ使用量のスナップショットが作成されます。これにより、どのくらいのメモリが使用されているか、また効率性を高めるためにどのようにESAルールを変更する必要があるかが分かります。メモリのスナップショットはヘルスモニタのシステム統計ブラウザで表示できます。そのため、このモジュールに対するアクセス権が必要です。システム統計ブラウザで詳細を確認した後、評価版ルールの構文を変更して、評価版ルールを再度有効にすることができます。

ルールのメモリ使用量をトラブルシューティングするためにメモリ スナップショット機能を使用するには、概要レベルで次の手順を実行する必要があります。

  1. 導入するすべての新規ルールに対して評価版モードを有効にします。次のトピックを参照してください: 評価版ルールとしてのルールの導入.
  2. メモリの閾値を超過した場合にメールを送信するようにヘルスモニタのESAポリシーを構成します。
  3. ヘルスモニタ モジュールを表示するための適切な権限があるかどうかを確認します。ロールと権限の詳細については、次のトピックを参照してください: ロールの権限.
  4. メモリ スナップショット機能が有効になっていることを確認します(SAエクスプローラでEnabledCaptureSnapshotパラメータを確認)。メモリ スナップショット機能はデフォルトで無効になっています。下記の「メモリ スナップショット機能の有効化と無効化」を参照してください。 RSAでは、新しいルールのテストが完了した後に、この機能を無効にすることを推奨します。
  5. 評価版ルールによってメモリ閾値超過がトリガーされた場合は、ヘルスモニタでメモリ使用率統計を表示します。
  6. アラームをトリガーしたルールを変更します。ルールを記述する場合のベスト プラクティスについては、次のトピックを参照してください: ベスト プラクティス.
  7. メモリ閾値を超過したときに無効化された評価版ルールを再び有効化します。サービスに対して評価版ルールを再度有効にする方法については、次のトピックを参照してください: ESAの統計とアラートの表示.
  8. 評価版ルールのテストを続けます。 

注:他のデバッグ ツールと同様に、メモリ スナップショット機能の使用により、通常とは異なる負荷がかかる場合があります。スナップショットを積極的に作成すると、メモリ スナップショット機能によりESAサービスに遅延が生じることがあります。スナップショット作成時には、ESAサービスはアラートの生成を停止します。RSAでは、新しいルールのテストが完了した後に、メモリ スナップショット機能を無効にすることを推奨します。メモリ スナップショット機能を無効にすると、メモリ使用量が構成した閾値を超過したときに評価版ルールは無効になりますが、メモリのスナップショットは作成されず、ヘルスモニタのシステム統計ブラウザに統計も表示されなくなります。

前提条件

メモリ メトリックを表示するための要件は次のとおりです。

  • 1つ以上のESAルールを評価版ルールとして構成する必要があります。
  • メモリ スナップショットを有効にする必要があります(SAエクスプローラのEnabledCaptureSnapshotパラメータを使用)。
  • ヘルスモニタの統計を表示するための権限が必要です。 
  • メモリ閾値を超過した場合にメールで通知するよう、ヘルスモニタのポリシーが構成されている必要があります。

手順

メモリ メトリックの表示

  1. Security Analyticsメニューで、[Administratinon]>[ヘルスモニタ]>[システム統計ブラウザ]を選択します。
  2. コンポーネントとして[Event Stream Analysis]を選択します。カテゴリーに、「ESA-Metrics」と入力します。 

HW-Mem_metrics.png

サブアイテム]フィールドにルールの名前が、[]列にメモリの使用量が表示されます。 

注:最終更新]フィールドには、ヘルスモニタがESAをポーリングした時間が表示されます。しかし、メモリ スナップショットを取得するのはメモリ閾値が超過した場合だけであるため、スナップショットが作成または更新された時間はこのフィールドには反映されません。スナップショットは、メモリの閾値超過が再び発生するまでそのまま残ります。たとえば、メモリの閾値超過が2015年10月10日午後12時に発生し、ヘルスモニタのポーリングが2015年10月10日午後3時に行われた場合は、[最終更新]フィールドの日付には「2015/10/10 3 p.m.」と表示されます。 

メモリ スナップショット機能の有効化と無効化

  1. Security Analyticsメニューで、[Administration]>[サービス]に移動し、ESAを選択します。 
  2. ESAを選択したら、[アクション]>[表示]>[エクスプローラ]をクリックして、次のように[CEP]>[Metrics]に移動します。 

    Enable_Mem_Snapshot.png
  3. メモリ スナップショット機能を有効にするか無効にするかに応じて、EnabledCaptureSnapshotフィールドをtrueまたはfalseに変更します。 
You are here
Table of Contents > 評価版ルールの使用 > 評価版モードでのルールのメモリ メトリックの表示

Attachments

    Outcomes