ESA構成:ESAストレージの構成

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、ESAデータベースを構成し、アラートの正常稼働レベルを維持する方法について説明します。 

この手順はオプションです。管理者は、アラートの保存期間を指定できます。アラート データベースのメンテナンスのベスト プラクティスは、古いアラートを削除することです。削除しなかった場合、データベースのデータ量が増加し続け、最終的にパフォーマンスに悪影響が及ぶ可能性があります。

アラートを自動的に削除する機能は、企業ごとに独自のポリシーがあるため、デフォルトでは有効化されていません。このトピックでは、次のタスクを実行する方法について説明します。

  • アラートの自動削除の有効化
  • アラートを削除する基準の指定
    • データベース サイズ
    • アラートの経過時間
    • データベース サイズとアラートの経過時間の両方

構成パラメータ

構成パラメータは次のとおりです。

                                             
パラメータ説明
Enabledアラートの自動削除機能を有効にします。
NextMaintenanceScheduledAt(読み取り専用)次のメンテナンスがいつ実行するようにスケジュール設定されているか。 
HaveAlertForDays(読み取り専用)データベースに格納されているアラートの現在の経過日数。たとえば、この数値が6月4日に確認され、6月1日から毎日アラートが生成されている場合、数値は「4」になります。 
DatabaseDiskUsage(読み取り専用)現在のデータベース サイズ。
Schedule アラートのメンテナンスを実行するスケジュールを設定します。このスケジュール設定では、UNIXのcrontabが使用されるため、正しいcrontab形式で指定する必要があります。cronによるスケジュール設定の詳細については、http://www.cronmaker.comを参照してください。
DatabaseDiskUsageLimtInMBデータベース サイズの閾値。これを超過すると、アラートが削除されます。
Valid現在の構成が有効であるかどうかを示す読み取り専用のパラメータ。 
DaysToDeleteWhenLimitExceededDatabaseDiskUsageLmitInMBを超過したときに削除される日数。
KeepAlertsForDaysデータベースにアラートを保持する日数。この日数を超えたアラートは削除されます。

前提条件

この手順を実行するには管理者権限が必要です。

手順

  1. Security Analyticsにadminとしてログオンします。
  2. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
  3. ESAサービスを選択し、>[表示]>[エクスプローラ]を選択します。
  4. 左側のパネルで、[Alert]>[Storage]>[maintenance]を選択します。
  5. Enabled]フィールドで、[true]を選択し、アラートの自動削除機能を有効にします。
  6. 古いアラートを削除する方法を構成します。
  • データベース サイズを基準にする場合:[DatabaseDiskUsageLimitInMB]にデータベースの最大サイズを入力します。次に、[DaysToDeleteWhenLimitExceeded]に、最も古い日付から何日分のアラートを削除するか、日数を入力します。たとえば、ディスク使用量が5120 MBに達したときに、最も古い日付から7日分のアラートを削除します。 
  • アラートの経過時間を基準にする場合:[KeepAlertsForDays]に指定した日数より以前のアラートがすべて削除されます。

注:Security Analytics 10.4.1以前の場合は、KeepAlertsForDaysを使用する必要があります。DatabaseDiskUsageLimitInMBは使用できません。

  • データベース サイズとアラートの経過時間の両方を基準にする場合:これらのパラメーターを両方構成している場合は、削除される日数が多い方のルールが使用されます。 
  1. Schedule 
    スケジュール パラメーターを使用して、アラート メンテナンス ジョブを実行する頻度(つまり、データベースを確認し、削除のルールを適用する頻度)をESAに指定します。Cronスケジュール ジョブの構文を使用します。Cronスケジュールについては、http://www.cronmaker.comを参照してください。
  2. ブラウザを更新します。
  • 次のメンテナンスの実行日時が[NextMaintenanceScheduledAt]フィールドに表示されます。 
  • Valid]フィールドには、構成が有効であることを示す[true]が表示されます。
    [false]が表示されている場合は、ディスク サイズまたはアラート経過時間の設定を修正してください。 
  1. (オプション)ESAホスト上にある/opt/rsa/esa/logs/esa.logファイルで、メンテナンスのステータスを監視することもできます。ファイルには、次の例に示すようようなメッセージが表示されます。

ESAサービスにある/opt/rsa/esa/logs/esa.logファイルで、メンテナンスのステータスを監視することもできます。ファイルには、次に示すようようなメッセージが表示されます。
2015-03-12 09:46:48,197 [Carlos@65dd6c04-56] INFO com.rsa.netwitness.carlos.config.ConfigurationMXBean -
MongoStorageMaintenance changed by admin
2015-03-12 09:46:51,121 [scheduler_Worker-1] INFO
 com.rsa.netwitness.core.alert.dispatch.SQLStorageMaintenance - Starting the scheduled database maintenance
job with policy {keepAlertForDays=30, maxDiskUsageInMb=5120}
2015-03-12 09:46:51,122 [Carlos@3801f0b3-58] INFO
 com.rsa.netwitness.core.alert.dispatch.SQLStorageMaintenance - Scheduled a database maintenance job with
policy {keepAlertForDays=30, maxDiskUsageInMb=5120} to run at 2/28/15 2:00 AM
2015-03-12 09:46:51,129 [Carlos@3801f0b3-58] INFO com.rsa.netwitness.carlos.config.ConfigurationMXBean -
MongoStorageMaintenance changed by admin
2015-03-12 09:46:51,133 [scheduler_Worker-1] INFO
 com.rsa.netwitness.core.alert.dispatch.SQLStorageMaintenance - Finished the database maintenance job,
deleted 0 partitions, next run scheduled at 3/14/15 2:00 AM

You are here
Table of Contents > ESAのその他の手順 > ESAストレージの構成

Attachments

    Outcomes