Alertes : Utiliser les règles d'évaluation

Document created by RSA Information Design and Development on Apr 17, 2018
Version 1Show Document
  • View in full screen mode
 

Lorsque les règles utilisent une trop grande quantité de mémoire, votre service ESA peut ralentir ou se bloquer. Pour vous assurer que les règles n'utilisent pas une quantité excessive de mémoire, vous pouvez activer les règles d'évaluation pour tout type de règle. Par défaut, les nouvelles règles que vous créez et les règles RSA Live que vous importez sont configurées pour être des règles d’évaluation. RSA vous recommande de désactiver le paramètre de règle d’évaluation uniquement après avoir testé la nouvelle règle dans votre environnement, avec un trafic réseau normal et élevé. Lorsque vous créez une règle d’évaluation, vous définissez un seuil global du pourcentage de mémoire que les règles peuvent utiliser. Si ce seuil de mémoire configuré est dépassé, toutes les règles d’évaluation sont désactivées.

Le service Event Stream Analysis (ESA) de NetWitness Suite peut traiter de gros volumes de données d'événement disparates à partir des Concentrators. Toutefois, lors de l'utilisation d'Event Stream Analysis, il est possible de créer des règles qui utilisent une quantité excessive de mémoire. Cela peut ralentir votre service ESA ou même provoquer son arrêt inattendu. Pour éviter que cela ne se produise pas, vous pouvez configurer votre règle en tant que règle d'évaluation. Lorsque vous configurez une règle d'évaluation, vous définissez également le seuil global du pourcentage de mémoire que les règles peuvent utiliser. En cas de dépassement de ce seuil de mémoire configuré, toutes les règles d'évaluation sont désactivées automatiquement.

Pour des suggestions sur la création de règles plus efficaces, reportez-vous à la rubrique « Bonnes pratiques pour l'écriture de règles » dans Bonnes pratiques

Par défaut, les nouvelles règles et les règles RSA Live sont configurées en tant que règles d’évaluation. En guide de bonne pratique, lorsque vous modifiez une règle existante, sélectionnez l'option Règle d'évaluation qui vous permet de :

  • Déployer la règle avec une plus grande sécurité.
  • Afficher éventuellement un snapshot de l'utilisation de la mémoire pour comprendre si la règle crée des problèmes de mémoire.
  • Déterminer si vous devez modifier les critères de la règle pour améliorer les performances.

Remarque : Exécutez une règle en tant que règle d'évaluation suffisamment longtemps pour évaluer les performances lorsque le trafic réseau est normal et élevé. 

You are here
Table of Contents > Utiliser les règles d'évaluation

Attachments

    Outcomes