グループ集計

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

グループ集計を使用すると、複数のArchiverサービスまたはConcentratorサービスを1つのグループとして構成して、これらのサービス間で集計タスクを分担できます。複数のArchiverサービスまたはConcentratorサービスで複数のLog Decoderサービスからのデータを効率的に集計するように構成して、次のようなデータに対するクエリーのパフォーマンスを向上させることができます。

  • Archiverに格納されているデータ。
  • Concentratorで処理されるデータ。

グループ集計導入に関するRSAの推奨事項

RSAでは、グループ集計の導入環境として次のような構成を推奨しています。

  • 1~ 2個のLog Decoder
  • 3~5個のArchiverまたはConcentrator

グループ集計を使用するメリット

グループ集計:

  • Security Analyticsクエリーの速度が向上します。
  • 集計クエリー(件数と合計)のパフォーマンスが向上します。
  • 調査のパフォーマンスが向上します。
  • 調査目的で、データをより長い期間格納するオプションを使用できます。

注:ベストのパフォーマンスを実現するには、グループ内のノードに格納されるデータの総量が、各ノードに格納されるデータ量を超えないようにします。たとえば、1つのノードの容量が90%に達しているため、3ノードのグループを作成し、3つのノードすべての容量が90%に達している場合は、全体としてのストレージ容量は増加しますが、最小限のパフォーマンス向上しか見込めません。

次の図はグループ集計を示しています。

任意の数のArchiverまたはConcentratorをまとめて、1つの集計グループを形成できます。すべての集計対象のセッションは、Aggregate Max Sessionsパラメーターで定義したセッション数に基づいて、グループ内のArchiverまたはConcentratorサービスに分割されます。

たとえば、集計グループが2つのArchiverサービスまたは2つのConcentratorサービスで構成され、Aggregate Max Sessionsパラメータが10000に設定されている場合は、サービス間でセッションが次の表で示すように分割されます。

                     
Archiver 0またはConcentrator 0 Archiver 1またはConcentrator 1
1~9,99910,000~19,999
20,000~29,99930,000~39,999
40,000~49,99950,000~59,999
You are here
Table of Contents > グループ集計

Attachments

    Outcomes