IPDB:サービス構成ビュー:IPDB Extractor構成

Document created by RSA Information Design and Development on Feb 16, 2017Last modified by RSA Information Design and Development on Feb 16, 2017
Version 2Show Document
  • View in full screen mode
  

このトピックでは、IPDB Extractorサービスの[全般]タブの構成パラメータについて説明します。IPDB Extractorのサービスの[構成]ビューにある[全般]タブでは、サービスの構成、データ取得の構成、取得されたデータに適用するParserの選択を管理します。

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
  2. [サービス]ビューで、[IPDB Extractor]サービスを選択します。
  3. アクション]列で、[表示]>[構成]をクリックします。

    IPDB Extractorサービスの[全般]タブが開いた状態で、[サービス]の[構成]ビューが表示されます。

システム構成

[システム構成]セクションでは、サービスの構成を管理します。サービスが最初に追加されたときには、デフォルト値が設定されています。これらの値を編集して、パフォーマンスを調整できます。

[システム構成]セクションには、以下のパラメータがあります。

                             
パラメータ説明
Compression

転送時にデータの圧縮が行われる最小バイト数。0に設定すると、圧縮が無効になります。デフォルト値は0です。

値を変更すると、それ以降のすべての接続に即座に反映されます。

ポート

サービスがリッスンするポート。デフォルトのポートは次のとおりです。

  • 50001(Log Collector用)
  • 50002(Log Decoder用)
  • 50003(Broker用)
  • 50004(Decoder用)
  • 50005(Concentrator用)
  • その他のサービスでは50007が使用されます

IPDB Extractorサービスのデフォルトのポートは、50025です。

SSL SSL設定を有効にすると、暗号化とSSL証明書による認証によってデータ転送のセキュリティが実装されますデフォルト値はoffです。
統計情報の更新間隔

システムで統計情報を更新する間隔(ミリ秒)。数字を低く設定すると更新がより頻繁になりますが、他のプロセスのパフォーマンスが低下する可能性があります。デフォルト値は1000です。

値の変更は即座に反映されます。

Threads

着信リクエストを処理するスレッド プール内のスレッド数。0に設定すると、システムが値を設定します。デフォルト値は15です。

変更はサービスの再起動後に有効になります。

IPDB Extractor構成

IPDB Extractor構成]パネルのパラメータは、IPDB Extractorサービスの構成を管理するために使用されます。IPDB Extractorサービスを追加すると、デフォルト値が有効になります。RSAでは、デフォルト値でほとんどの環境に対応できるように設計しています。これらの値を編集するとパフォーマンスに影響を及ぼす可能性があるため、編集しないことを推奨します。

データの取得のセットアップと調整を行うパラメータは次のとおりです。

  • Extractor設定
  • クエリーの設定

Extractor設定

以下の表は、Extractor設定について説明しています。

                                                             
名前構成
Buffer Size (MB)データ取得バッファのサイズ(MB)。デフォルト値は1です。この値の変更を有効にするには、IPDB Extractorサービスを再開する必要があります。
Mapping of storage location to mount point複数のストレージ ロケーションがあるIPDBの場合のみ設定します。IPDBに複数のストレージ ロケーションがある場合、それらを対応するマウント ポイントにマップして、IPDB Extractorがそこからデータを抽出できるようにします。例:\\1.1.1.1\vol1\nic\lsnode\LSIPDB-LC1~storage1,\\1.1.1.1\vol2\nic\lsnode\LSIPDB-LC1~storage2の場合、この値の変更を有効にするには、IPDB Extractorサービスを再開する必要があります。
Num Of Buffersデータ取得バッファの数。有効な値は1~4です。デフォルト値は4バッファです。この値の変更を有効にするには、IPDB Extractorサービスを再開する必要があります。
Num Of Buffers in the pool使用可能なバッファ プールの中のバッファの数。有効な値は500~700です。デフォルト値は500バッファーです。この値の変更を有効にするには、IPDB Extractorサービスを再開する必要があります。
プール内のリクエスト数プール内のリクエストの数。有効な値は500~6000です。デフォルト値は500リクエストです。この値の変更を有効にするには、IPDB Extractorサービスを再開する必要があります。
Num Of Threads in the threadpoolスレッドプール内のスレッドの数。有効な値は50~200です。デフォルト値は50スレッドです。この値の変更を有効にするには、IPDB Extractorサービスを再開する必要があります。
Parse Threadsセッションのパースに使用するパース スレッドの数。  有効値は数字です。  デフォルトは0です。  0を指定すると、サーバがデータ ボリュームに基づいてスレッドの数を決定します。この値の変更を有効にするには、IPDB Extractorサービスを再開する必要があります。
Transport URIトランスポートURI(Uniform Resource Identifier)は、IPDBクライアントとIPDB Extractorサーバ間で通信を行うために使用されます。  デフォルト値はvives://127.0.0.1:50009です。この値の変更を有効にするには、IPDB Extractorサービスを再開する必要があります。
Transport Worker Threadsトランスポート クライアント リクエストを処理するワーカー スレッドの数。この値の変更を有効にするには、IPDB Extractorサービスを再開する必要があります。
Use L1 Bloom

L1ブルームは、IPDBからデータをすばやく取得する場合に使用します。  メタに対してブルーム フィルタ インデックスが有効化されており、レポート クエリーでリクエストされたメタ値がイベント ログに含まれている場合、対応するデータ ファイルが読み取られます。それ以外の場合、スキップされます。デフォルト値は有効です(L1ブルームを使用する)。

注:[L1ブルームの使用]および[L2ブルームの使用]オプションを指定するには、2013年8月以降のコンテンツをインストールしている必要があります。

Use L2 BloomL2ブルームは、IPDBからデータをすばやく取得する場合に使用します。メタに対してブルーム フィルタ インデックスが有効化されており、レポート クエリーでリクエストされたメタ値がイベント ログに含まれている場合、対応するデータ ファイルが読み取られます。それ以外の場合、スキップされます。デフォルト値は有効です(L2ブルームを使用する)。
Use L2 IndexingL2インデックス作成は、IPDBからデータを取得する場合に使用します。デフォルト値は有効です(L2インデックス作成を使用する)。
Use Sqlite Filterイベントにsqliteフィルタを適用します。デフォルト値は有効です(sqliteフィルタを適用する)。

クエリーの設定

以下の表は、IPDB Extractorのクエリーの設定について説明しています。

                 
名前構成
Query Idle LimitSecurity Analyticsが、クエリーを閉じる前に、次のデータ取得まで待機する時間(秒)。  デフォルト値は3600です。
Query Status IntervalSecurity Analyticsがクエリー統計の更新を待機する時間(秒)。有効な値の範囲は1200です。デフォルト値は10です。  Security Analyticsは、クエリー ステータス間隔統計情報の更新間隔よりも小さい場合、[プロファイル]ビュー>[環境設定]パネル>[全般]タブで、この値を統計情報の更新間隔に設定します。

Parser構成

[Parser構成]パネルでは、IPDB Extractorで使用するParserを選択します。

この表は、[Parser構成]セクションの機能について説明しています。

                 
機能説明
名前 IPDB Extractorで使用できるParserの名前。プラス記号は、Parserによって生成されたメタデータが構成可能であることを示しています。プラス記号をクリックすると、Parserが生成できるメタデータが表示されます。
構成 Parserまたはメタデータの設定のオン/オフを切り替えるチェックボックス。チェックボックスがオンの場合、IPDB ExtractorはParserを使ってトラフィックをパースします。チェックボックスがオフの場合、IPDB ExtractorはParserを使用していません。Parserが生成するメタデータが構成可能な場合、メタデータをチェックボックスで選択します。

サービスParser構成

[サービスParser構成]パネルは、IPDB Extractorサービスで使用するサービスParserを選択するために使用されます。

You are here
Table of Contents > サービス構成ビュー:IPDB Extractor構成

Attachments

    Outcomes