Warnmeldungen: Anzeigen von Speicherkennzahlen für Regeln im Testmodus

Document created by RSA Information Design and Development on Apr 17, 2018
Version 1Show Document
  • View in full screen mode
 

In diesem Thema erfahren Autoren von ESA-Regeln, wie sie Speicherkennzahlen anzeigen können, wenn der für Testregeln konfigurierte Speicherschwellenwert überschritten wird. Wenn der Speicherschwellenwert überschritten wird, können Sie einen Snapshot der Speichernutzung von ESA-Regeln konfigurieren, der zu dem Zeitpunkt erstellt wird, wenn die Testregeln deaktiviert werden. Dies ermöglicht die Untersuchung der Speichernutzung und das Bearbeiten der Regeln für mehr Effizienz.

Wenn Sie Testregeln konfigurieren und die Funktion „Speicher-Snapshot“ aktivieren, werden bei Überschreiten des Speicherschwellenwerts alle Testregeln deaktiviert und es wird ein Snapshot der Speichernutzung für alle ESA-Regeln zum Zeitpunkt der Deaktivierung erstellt. Dies ermöglicht es Ihnen, einzusehen, wie viel Speicher verwendet wurde, damit Sie die ESA-Regeln anpassen können, um sie effizienter zu machen. Der Speicher-Snapshot kann im Systemstatistikbrowser von Integrität und Zustand angezeigt werden. Sie benötigen daher die Berechtigungen zum Zugriff auf dieses Modul. Wenn Sie die Details im Systemstatistikbrowser anzeigen, können Sie die Testregelsyntax ändern und die Testregeln wieder aktivieren.

Allgemein müssen Sie die folgenden Schritte ausführen, um den Speicher-Snapshot für das Troubleshooting der Speichernutzung von Regeln verwenden zu können:

  1. Aktivieren Sie Testregeln für jede neue Regel, die Sie bereitstellen. Siehe Bereitstellen von Regeln als Testregeln.
  2. Vergewissern Sie sich, dass Sie die ESA-Richtlinien in Integrität und Zustand so konfiguriert haben, dass eine E-Mail gesendet wird, wenn die Speicherschwellenwerte überschritten werden.
  3. Vergewissern Sie sich, dass Sie über die korrekten Berechtigungen zum Anzeigen des Moduls Integrität und Zustand verfügen. Informationen zu Rollen und Berechtigungen erhalten Sie unter Rollenberechtigungen.
  4. Vergewissern Sie sich, dass die Funktion „Speicher-Snapshot“ aktiviert ist (über den Parameter EnabledCaptureSnapshot in NetWitness Suite Explorer). Die Funktion „Speicher-Snapshot“ ist standardmäßig deaktiviert. Siehe „Aktivieren und Deaktivieren der Funktion für Speicher-Snapshots“ unten. RSA empfiehlt, die Funktion zu deaktivieren, nachdem Sie die Test neuer Regeln abgeschlossen haben.
  5. Sehen Sie sich die Speicherschwellenwert-Statistiken in Integrität und Zustand an, wenn der Speicherschwellenwert für Testregeln überschritten wird.
  6. Ändern Sie die Regel oder Regeln, die die Warnmeldung ausgelöst haben. Best Practices für das Erstellen von Regeln finden Sie unter Best Practices.
  7. Aktivieren Sie die Testregeln wieder, die deaktiviert wurden, als der Speicherschwellenwert überschritten wurde. Anweisungen zum erneuten Aktivieren der Testregeln auf einem Service erhalten Sie unter Anzeigen von ESA-Statistiken und -Warnmeldungen.
  8. Setzen Sie das Testen der Testregeln fort. 

Hinweis: Wie bei jedem Debugging-Tool kann ein außergewöhnlicher Overhead mit der Verwendung der Funktion Speicher-Snapshot verbunden sein. Wenn Sie aktiv einen Snapshot erstellen, kann die Funktion Speicher-Snapshot zu Verzögerungen des ESA-Services beitragen. Der ESA-Service erzeugt keine Warnmeldungen, während ein Snapshot erstellt wird. RSA empfiehlt, die Funktion zu deaktivieren, nachdem Sie das Testen neuer Regeln abgeschlossen haben. Wenn Sie die Funktion Speicher-Snapshot deaktivieren, werden Testregeln weiterhin deaktiviert, wenn die Speichernutzung die konfigurierten Schwellenwerte überschreitet, es wird jedoch kein Speicher-Snapshot erstellt und die Statistik wird nicht im Systemstatistikbrowser von Integrität und Zustand angezeigt.

Voraussetzungen

Hierbei handelt es sich um die Anforderungen für das Anzeigen von Speicherkennzahlen:

  • Eine oder mehrere ESA-Regeln müssen als Testregeln konfiguriert sein.
  • „Speicher-Snapshot“ muss aktiviert sein (über den Parameter EnabledCaptureSnapshot in NetWitness Suite Explorer).
  • Der Benutzer muss über die entsprechenden Berechtigungen zum Anzeigen der Statistik in Integrität und Zustand verfügen. 
  • Der Benutzer muss die ESA-Richtlinie in Integrität und Zustand so konfiguriert haben, dass eine E-Mail gesendet wird, wenn die Speicherschwellenwerte überschritten werden.

Methoden

Anzeigen von Speicherkennzahlen

  1. Navigieren Sie zu ADMIN > Integrität und Zustand > Systemstatistikbrowser.
  2. Wählen Sie als Komponente Event Stream Analysis aus. Geben Sie als Kategorie ESA-Kennzahlen ein.

Speicherkennzahlen von Integrität und Zustand

Der Name der Regel wird im Feld Unterelement angezeigt, die Speichernutzung in der Spalte Wert.

Hinweis: Im Feld Letzte Aktualisierung ist angegeben, wann ESA von Integrität und Zustand abgefragt wird. Der Speicher-Snapshot wird jedoch nur erstellt, wenn die Speicherschwellenwerte überschritten werden. Das Feld gibt also keine Auskunft darüber, wann der Snapshot erstellt oder aktualisiert wurde. Der Snapshot bleibt unverändert, bis der Speicherschwellenwert wieder überschritten wird. Beispiel: Wenn der Speicherschwellenwert am 10.10.15 um 12 Uhr überschritten wird, die Abfrage durch Integrität und Zustand aber am 10.10.15 um 15 Uhr erfolgt, wird im Feld Letzte Aktualisierung das Datum 10.10.15 15 Uhr angezeigt. 

Aktivieren oder Deaktivieren der Funktion Speicher-Snapshot

  1. Navigieren Sie zu ADMIN > Services und wählen Sie den ESA-Service aus. 
  2. Wählen Sie Symbol „Aktionen“ > Ansicht > Durchsuchen aus und navigieren Sie zu CEP > Kennzahlen > Konfiguration, wie unten gezeigt. 
    ESA-Service-Exploreransicht zum Aktivieren eines Speicher-Snapshots
  3. Ändern Sie das Feld EnabledCaptureSnapshot in wahr oder falsch, je nachdem, ob Sie die Speicher-Snapshot-Funktion aktivieren oder deaktivieren möchten. 
You are here
Table of Contents > Verwenden von Testregeln > Anzeigen von Speicherkennzahlen für Regeln im Testmodus

Attachments

    Outcomes