このトピックでは、Concentratorをクラスターにグループ化し、複数のホストで集計作業を分担する方法について説明します。
注:Brokerは、グループ集計に対応していません。
クラスタ集計(「グループ集計」とも呼びます)を使用すると、単一のDecoderから複数のConcentratorにデータを送信して効率的に集計できます。 任意の数のConcentratorをまとめて、1つの集計グループを作成できます。グループ内のConcentratorは、すべてのセッションをConcentrator間で分割します。グループ集計を使用すると、単一のDecoderから複数のConcentratorにデータを送信して効率的に集計できます。次の図にアーキテクチャを示します。
例
任意の数のConcentratorをグループに追加し、グループ集計を実行できます。グループ内のConcentratorにより、すべてのセッションが分割されます。
2つのConcentratorで構成されるグループでは、各Concentratorによって集計されたセッションは次のようになります。
| Concentrator 0 | Concentrator 1 |
|---|---|
| 1~9,999 | 10,000~19,999 |
| 20,000~29,999 | 30,000~39,999 |
| 40,000~49,999 | 50,000~59,999 |
グループ集計パラメータ
グループは、ConcentratorおよびArchiver構成の一部として、Security Analyticsサービスの[構成]ビューで構成できます。次の表にパラメータの一覧を示します。このパラメータを、[サービス]の[エクスプローラ]ビューで構成することもできます。
| パラメータ | パラメータを設定する場所 | 説明 |
|---|---|---|
| Aggregate Max Sessions | /concentrator/config/ aggregate.sessions.max | 特定の時点でConcentratorが受け取ることのできるセッション数。Concentratorがグループのメンバーである場合、このパラメータによって、Decoderのセッションをグループ間でどのように分割するかも決まります。Decoderのセッションは、aggregate.sessions.maxのサイズに分割され、Concentrator間で均等に分配されます。たとえば、aggregate.sessions.maxが10,000の場合、セッション1~9,999は1つ目のConcentratorに、セッション10,000~19,999は2つ目のConcentratorに送信されます。グループ内のすべてのConcentratorが、aggregate.sessions.maxに同じ値を使用する必要があります。 |
| グループ名 | /concentrator/ devices/<device>/config/ options,gang=<gang name> | グループ名を指定します。グループ名を指定することにより、そのグループのメンバーになります。グループ内のConcentratorの数に制限はありません。このパラメータは、どのConcentratorが連携しているかをDecoderが特定するためのメカニズムにすぎません。グループのすべてのメンバーが、同じグループ名を使用する必要があります。グループ名パラメーターが設定されていない場合は、グループ集計が無効です。グループ名は、任意の文字列IDです。 |
| サイズ | /concentrator/ devices/<device>/config/ options,gangSize=<number of devices in gang> | このパラメータは、グループのサイズ(グループ内のConcentratorの数)を設定します。すべてのConcentratorが、グループ サイズとして同じ値を指定する必要があります。グループのサイズに上限はありません。 |
| メンバー番号 | /concentrator/ devices/<device>/config/ options,gangMember=<id number of concentrator in gang> | このパラメータは、グループ内でのConcentratorの番号を設定します。サイズがNのグループの場合、グループ メンバーごとに、メンバー番号を0~N-1の間で設定する必要があります。たとえば、グループ サイズが2の場合は、一方のメンバーにメンバー番号0を指定し、もう一方のメンバーにメンバー番号1を指定します。グループ サイズが3の場合、メンバーには、ID0、1、2を割り当てます。 |
| メンバーシップ モード | /concentrator/ devices/<device>/config/ options,gangMembership=(new|replace) | このパラメータにより、Concentratorが初めて集計を開始する時の処理方法が決まります。デフォルトの動作は置換です。つまり、このConcentratorが集計を開始すると、既存のグループ メンバーが置き換えられます。または、グループ内のすべてのメンバーが同時に初期化されます。この場合、Concentratorは、集計対象のホストで使用可能なセッションのうち、最も古いセッションから集計を開始します。このパラメータが新規に設定されている場合、このConcentratorは、既存のグループの新しいメンバーとして追加されます。このConcentratorは、集計対象のサービスの既存のセッションの集計を試行しません。グループの他のメンバーが、既存のすべてのセッションをすでに集計しています。このConcentratorが集計するのは、集計対象のサービス上で新規に作成されるセッションのみです。 |
例
次の表は、グループ名がfooで、2つのメンバーで構成されているグループのサンプル パラメーターを示しています。
| パラメータ | Concentrator 0 | Concentrator 1 |
|---|---|---|
| aggregate.max.sessions | 10,000 | 10,000 |
| device options | gang=foo gangSize=2 gangMember=0 | gang=foo gangSize=2 gangMember=1 |
次の表は、グループ名がbazで、3つのメンバーで構成されているグループのサンプル パラメーターを示しています。
| パラメータ | Concentrator 0 | Concentrator 1 |
|---|---|---|
| aggregate.max.sessions | 10,000 | 10,000 |
| device options | gang=baz gangSize=3 gangMember=0 | gang=baz gangSize=3 gangMember=2 |
グループのサイズ
グループ内でのセッションの分割方法を変更するため、グループのサイズを増やす、または減らす場合は、オフライン状態に切り替える必要があります。オフライン中に、すべてのメンバーを更新して、gangSizeパラメーターに同じ値を設定します。代替のホストは、そのホストの分担するセッションのみを集計します。同様に、すべてのグループ メンバーは、グループ内の他のメンバーに影響を及ぼすことなく、いつでもデータをリセットして、集計を再開することができます。
グループ メンバー
グループ メンバーはいつでも置換することができます。置換する場合は、代替のホストのgangMemberパラメーターに、古いホストのgangMemberパラメーターと同じ値を設定します。代替のホストは、そのホストの分担するセッションのみを集計します。同様に、すべてのグループ メンバーは、グループ内の他のメンバーに影響を及ぼすことなく、いつでもデータをリセットして、集計を再開することができます。