収集の時間順序を使用するESAの構成

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、管理者を対象として、複数のConcentratorをソースとして使用する場合に、収集の時間順序を使用するようにESAを構成する方法について説明します。 

デフォルトでは、ESAはESAタイム スタンプ(ESAがイベントを受信する時間)を使用してイベントを関連づけます。ただし、ESAは、収集時間(パケットまたはログ イベントがDecoderに到達した時刻)に基づいたセッション順序もサポートしています。この機能は、複数のConcentratorからのイベントを関連づけている場合に便利です。ソースとして複数のConcentratorがある場合、そのセッションは時間順序によって収集時間で関連づけされるようになります。これにより、同時に収集されたセッションが一緒に関連づけされ、転送の遅延が発生した場合でも、ユーザーの期待通りのアラートとなります。いずれかのソースがオフラインになるか、セッションの送信が遅れた場合、ESAは一時停止して、収集タイム スタンプが同じセッションを関連づけます。

たとえば、午前10:00に発生するイベントを含む2つのソースがあります。収集の時間順序を使用すると、これらのイベントは、午前10:00に発生するすべてのイベントがバッファに追加されたことをESAが検出するまで、バッファに保持されます。すべてのイベントが到着したら、EPLルールを使用してイベントが処理されます。これによってルールは、同じタイム スタンプを持つ、さまざまなソースのすべてのイベントを有することになり、正しい結果を得られます。たとえば、あるConcentratorが別のConcentratorよりも遅延する場合、ESAはタイムスタンプが午前10:00のすべてのイベントが両方のソースから到着するまで一時停止した後、イベントに対してEPLルールを実行します。 

注意:この機能は精度が向上しますが、パフォーマンスに影響します。ESAのデフォルト構成により、データは絶えずストリーミングしていますが、収集の時間順序ではバッファを使用するため、イベントの処理に時間がかかるようになります。バッファがいっぱいになるのを待つ間、ESAが一時停止しなければならない場合は、特にこれが当てはまります。この状況に対処するために構成可能な複数のパラメータがあります(下記参照)。ただし、それでもパフォーマンスに影響する可能性があります。 

デフォルトでは、この機能は無効です。

収集の時刻順序のワークフロー

次の図は、収集の時間順序が有効であるときのワークフローを示します。 

  1. イベントは、Decoderによって収集されたときのタイム スタンプが付きます。
  2. Concentratorの処理の後にイベントがバッファされ、順序が決まります。バッファ サイズは、2つのパラメータ、MaxEPSExpectedPerSource(ESAが受信するソースあたりのトラフィックの推定最大ボリューム(EPS))とTimeOrderHoldWindow(すべてのソースからイベントが到達するまでに許容される時間)を掛けて計算されます。
  3. 順序づけされたイベントは、次にEPLルールで正しく関連づけられます。 

前提条件

複数のConcentratorは、ESAでは1つのデータ ソースとして構成する必要があります。

StreamEnabledパラメータがtrueに設定されている場合に重要なことは、コア サービスを実行しているすべてのマシンがNTPで同期された状態でなければならない点です。 

手順

次の手順では、収集の時間順序を有効化して構成する方法を説明します。

バッファリングと収集の時間順序の有効化

注:アップグレード後、またはEPSの高い環境でメリットを実感できるようにするには、データソースを再度追加する必要があります。または、収集の時間順序を有効にする前に、セッションが追いつくまで待つ必要があります。

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。ESAサービスを選択し、>[表示]>[エクスプローラ]を選択します。 
  2.  [Workflow]>[Source]>[nextgenAggregationSource]に移動します。
  3. StreamEnabled]属性をtrueに設定します。 [StreamEnabled]を使用すると、Concentratorから受信したイベントをESAでバッファできます。
  4. TimeOrdered]属性をtrueに設定します。これで、バッファされたイベントがConcentratorからのタイム スタンプに基づいて順序づけできます。

収集の時間順序の構成

収集の時間順序を操作するときは、パフォーマンスを確保するために、その他にいくつかのパラメータを構成する必要があります。次の表は、パラメータとそれらの機能を示しています。これらのパラメータを構成するには、トラフィックのボリュームとレートに関する知識が必要です。

注:トラフィックのボリュームまたはレーテンシーがわからない場合は、この機能を構成する前に、プロフェッショナル サービスの担当者に相談してください。

                   
MaxEPSExpectedPerSource

ご使用の最もビジーなソースからESAサービスが受信するトラフィックの推定最大ボリューム(EPS、つまり1秒あたりのイベント数)を指定します(たとえば、1つのソースが20,000 EPSを受信し、別のソースが25,000 EPSを受信する場合、この値は25,000 EPSで設定します)。

このレートの設定が低すぎると、パフォーマンスに短期的な影響があります。ただし、時間順序モードでの動作を向上させるために、ESAが必要に応じてMaxEPSExpectedPerSourceの値を自動的に大きくします。

デフォルト値は20Kです。

TimeOrderHoldWindow

すべてのソースからイベントが到達するまでに許容される時間を秒単位(整数)で指定します。 

ソース間のレイテンシに基づいてこの値を構成します。

デフォルト値は2秒です。この値を小さくすると、イベントがドロップされる可能性が増えます。この値を大きくすると、メモリがさらに多く消費されるため、パフォーマンスが低下する可能性があります。 

IdleSourceAdvanceAfterSeconds

収集の時間順序ストリームを進めるために、ESAがアイドル状態のソース(ソースから到達するイベントはないが、ソースはオフラインではない)を除外するまでの間隔(秒単位)を指定します。デフォルト値は0です。これはESAが到着するイベントを無期限に待つことを意味します。

OfflineSourceAdvanceAfterSeconds

収集の時間順序ストリームを進めるために、ESAがオフライン ソースを除外するまでの間隔(秒単位)を指定します。デフォルト値は0です。これはESAが無期限に待機することを意味します。このパラメータは、どのような場合でも実行される再接続の再試行には影響しません。

トラブルシューティングのヒント

この機能を使用すると、イベントが未処理になる状況が発生する可能性があります。この問題を解決するには、次のいずれかのオプションを実行できます。

収集の時間順序の無効化

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。ESAサービスを選択し、>[表示]>[エクスプローラ]を選択します。 
  2.  [Workflow]>[Source]>[nextgenAggregationSource]に移動します。
  3. [StreamEnabled]属性をfalseに設定します。 
  4. [TimeOrdered]属性をfalseに設定します。 

収集の時間順序を無効にすると、未処理のデータは失われ、イベントは収集時間に基づいた順序ではなくなります。 

位置トラッキングの無効化

位置トラッキングでは、ESAが停止またはシャットダウンした場合にイベントの処理が停止した場所を、ESAでトラッキングすることができます。位置トラッキングは、収集の時間順序が有効化されるとデフォルトで有効に設定されます。位置トラッキングを無効にすると、ESAで未処理のイベントをスキップすることができます。たとえば、午前7:00にESAがダウンし、位置トラッキングが無効になっている状態で午前11:00にESAを再起動した場合、ESAは午前10:55に発生したイベントから処理を開始します。位置トラッキングが有効の場合、ESAは停止した時点のイベントから処理を開始します。

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。ESAサービスを選択し、>[表示]>[エクスプローラ]を選択します。 
  2.  [Workflow]>[Source]>[nextgenAggregationSource]に移動します。
  3. PositionTrackingEnabled]属性をfalseに設定します。 

位置トラッキングを無効にすると、未処理のデータは失われますが、以後は、イベントは収集時間に基づいた順序になります。 

You are here
Table of Contents > ESAのその他の手順 > 収集の時間順序を使用するESAの構成

Attachments

    Outcomes