レポート:レポートに関する推奨事項

Document created by RSA Information Design and Development on Feb 17, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、レポートの実行時間を短縮するためにRSAが推奨するガイドラインを紹介します。このトピックでは、Reportsのエンティティ(ルール、レポート、アラート、チャート、リストなど)の実行時間を短縮するためにRSAが推奨するガイドラインを紹介します。以下のガイドラインについて記述しています。

  • NWDBルール
  • NWDBルールのタイムアウト構成
  • Lookup and Addルール アクション
  • リスト値レポート

NWDBルール

レポート、アラート、チャートなどのReportingのエンティティにNWDBルールが含まれていて(ほとんどの場合、クエリーにグループ化が含まれている)、実行に時間がかかる場合、次の項目を試してください。 

  1. WHERE句を調整する。 
    (特に[グループ化]オプションを使用する場合)WHERE句を使用するか調整することでスキャン対象セッション数を制限できます。たとえば、次のルールを検討します。


    前述のWHERE句を使用した場合、集計対象のセッションが膨大な数に上ります。この場合、一連のIPアドレスを指定するか、関係するIPアドレスを含んだリスト(List of IP Address)を作成し、必要なセッションだけをフィルタで抽出することによって、それを防ぐことができます。

     
  2. インデックス作成済みのメタ キーをWHERE句に使用する。
    メタのインデックスが作成されているかどうかを把握するには、マウスをメタ キーに合わせます。値タイプがINDEX_VALUEである場合、そのメタにはインデックスが作成されています。メタにインデックスが作成されていない場合、値タイプはINDEX_KEYまたはINDEX_NONEとなります。 

    次に示したのは、インデックスが作成されているメタ キーのスナップショットです。

     
  3. [タイムアウト]オプションを構成する。
    クエリーに時間がかかり、タイムアウトが発生して失敗する場合、NWDBルール実行のタイムアウトを構成することができます。詳細については、以下のセクション「NWDBルールのタイムアウト構成」を参照してください。 
  4. 異なる時刻に実行するようにクエリーのスケジュールを設定する。
    複数の集計クエリーが同時に実行されタイムアウトが発生するようであれば、それらのクエリーを別々の時刻に実行するようスケジュールを設定し、実行時間が重ならないようにします。 

NWDBルールのタイムアウト構成

注:構成に何らかの変更を加える際は、Reporting EngineとNWDBデータ ソースの統計をあらかじめチェックしておくことを推奨します。詳細については、「システム メンテナンス ガイド」にある、Reporting Engineの「ホストとサービスの監視」トピックおよび「システム統計の監視」トピックを参照してください。   

タイムアウトが原因でNWDBルールが実行に失敗する場合、[レポートの表示]ページに次のエラーが表示されます。 

  • Reporting Engineのタイムアウト エラー
    • 「‘/sdk/values'リクエストに対するレスポンスが、構成されている時間(30分)内にデータソース‘10.31.x.x Concentrator'から返されませんでした。」 
  • NWDBのタイムアウト エラー
    • 「ソース'10.31.x.x Concentrator'からデータをフェッチしているときにエラーが発生しました。{Timeout message from NWDB}。」
  • このような場合、次の方法で対処できます。

    • Reporting Engineのタイムアウト 
      Reporting Engineのタイムアウトを調整する場合、時間のかかるクエリーが最後まで実行できるようにタイムアウト時間を延長します。Reporting EngineのNWDB Queries Time OutおよびNWDB Info Queries Time Outオプションの設定の詳細については、「ホストおよびサービスの構成ガイド」の「Reporting Engine設定の構成」トピックを参照してください。NWDB Query Time Out は0分(タイムアウトなし)に、NWDB Info Queries Time Outは60分に設定することを推奨します。 
    • NWDBタイムアウト 
      NWDBタイムアウトの場合は、NWDBデータ ソースのquery.level.timeoutパラメータおよびmax.concurrent.queriesパラメータを構成する必要があります。「ホストおよびサービスの構成ガイド」の「データベース チューニング」トピックの推奨事項に基づいて、クエリーを微調整してください。

      以下に示したのは、[エクスプローラ]ビューのスナップショットです。NWDBデータ ソースのパラメータは、このビューで設定することができます。 
    • 異なる時刻に実行するようレポートのスケジュール設定を行う
      NWDBコア デバイスの使用率が高い場合、各レポートが別々の時刻に実行されるようにスケジュールを設定し、実行時間が重ならないようにします。 
    • レポートの分割
      1つのレポートに多数のルールが存在する場合、いくつかのルールのまとまりごとにレポートを分割します。複数のルールが存在する場合、スレッドの空き状況によっては、すべてのルールの実行が同時に開始されます。そのようなときは、論理的にルールを別個のレポートにグループ化することができます。 

LookupAndAddルール アクション

lookup_and_addルール アクションを少なくとも1つ含んだルールで、レポートの実行時間が長くかかる場合、それぞれのルール アクションで、NWDBデータ ソースに対する複数のルックアップ クエリーをトリガーしていることが原因と考えられます。

レポートの実行時間を短縮するには、次の項目を試してください。  

  • 次のWHERE句を調整する
    • lookup_and_addルール アクションを含んだルール
    • lookup_and_addルール アクション
  • 上限の設定
    ルールとルール アクションに対し、適切な上限を設定する必要があります。上限が高く、トリガーされるクエリーが多いと、レポートの実行に時間がかかります。 
  • boolean aggregateパラメータの設定

    ルックアップ値に、sum(meta), count(meta)などの集計値が不要であれば、lookup_and_addルール アクションで、boolean aggregateパラメーターをfalseに設定します。詳細については次のトピックを参照してください:NWDBルールの構文.

    lookup_and_add(string select, string field, int limit, boolean inherit, string extraWhere, boolean aggregate)

    次のようなlookup_and_addルール アクションを含むルールがあるとします。

    lookup_and_add_agg_false_106.png

    出力が表示されます。

  • それぞれのlookup_and_addルール アクションは、データ ソースに対し、デフォルトで2つの同時ルックアップ クエリーをトリガーします。RSAでは、デフォルトの設定を使用することを推奨しますが、この値を増やしたい場合は、Reporting EngineのMax # of Concurrent LookupAndAdd Queriesパラメータの値が、NWDBデータ ソース構成におけるMax Concurrent Queriesの値よりも小さくなるようにしてください。
    NWDBデータ ソースを他のサービスと共有する場合、他のサービスのクエリーに影響が生じるため、Reporting EngineのMax # of Concurrent LookupAndAdd Queriesパラメータの値は低いままの方がよい場合もあります。詳細については、「ホストおよびサービスの構成ガイド」で「Reporting Engineの[全般]タブ」トピックを参照してください。 
  • 調査対象が一意の値のみであって、正確な集計結果が必要ない場合は、NWDBルールのSession Thresholdをゼロ以外に設定します。詳細については、次のトピックを参照してください: NetWitnessデータ ソースを使用したルールの定義。この値が大きいほど、ルールの実行に時間がかかります。この値をゼロに設定した場合、実行時間は長くなりますが、正確な集計結果が得られます。 
    次のようなlookup_and_addアクションを含んだルールがあり、[セッション閾値]が10に設定されているとします。


    出力が表示されます。

     

リスト値レポート

厳選されたリストを使用します。

(データ ソースのタイプに関係なく)リスト値レポートでは、リスト内の値ごとに各レポートが生成されます。そのため、リストに含まれる値の数が多いほど、レポートの実行に時間がかかります。リスト値レポートを生成する場合は、厳選したリストを使用してください。 

You are here
Table of Contents > レポートの概要 > レポートに関する推奨事項

Attachments

    Outcomes