このトピックでは、ESAルールを記述する担当者を対象に、評価版ルールに構成されているメモリの閾値を超えた場合のメモリ メトリックの表示方法について説明します。メモリの閾値を超えた場合、評価版ルールが無効になった時点でのESAルールのメモリ使用量について、スナップショットを作成するよう構成できます。これによってメモリの使用量を調査して、より効率的になるようルールを編集することができます。
評価版ルールを構成したときにメモリ スナップショット機能を有効にすると、メモリの閾値を超過した場合にすべての評価版ルールが無効になり、無効になった時点ですべてのESAルールのメモリ使用量のスナップショットが作成されます。これにより、どのくらいのメモリが使用されているか、また効率性を高めるためにどのようにESAルールを変更する必要があるかが分かります。メモリのスナップショットはヘルスモニタのシステム統計ブラウザで表示できます。そのため、このモジュールに対するアクセス権が必要です。システム統計ブラウザで詳細を確認した後、評価版ルールの構文を変更して、評価版ルールを再度有効にすることができます。
ルールのメモリ使用量をトラブルシューティングするためにメモリ スナップショット機能を使用するには、概要レベルで次の手順を実行する必要があります。
- 導入するすべての新規ルールに対して評価版モードを有効にします。「評価版ルールとしてのルールの導入」を参照してください。
- メモリの閾値を超過した場合にメールを送信するようにヘルスモニタのESAポリシーを構成していることを確認します。
- ヘルスモニタ モジュールを表示するための適切な権限があるかどうかを確認します。ロールと権限についての詳細は、「ロールの権限」を参照してください。
- メモリ スナップショット機能が有効になっていることを確認します(NetWitness SuiteエクスプローラでEnabledCaptureSnapshotパラメータを確認)。メモリ スナップショット機能はデフォルトで無効になっています。下記の「メモリ スナップショット機能の有効化と無効化」を参照してください。RSAでは、新しいルールのテストが完了した後に、この機能を無効にすることを推奨します。
- 評価版ルールによってメモリ閾値超過がトリガーされた場合は、ヘルスモニタでメモリ使用率統計を表示します。
- アラームをトリガーしたルールを変更します。ルールを記述する場合のベスト プラクティスについては、「ベスト プラクティス」を参照してください。
- メモリ閾値を超過したときに無効化された評価版ルールを再び有効化します。評価版ルールを再度有効にする方法については、「ESAの統計とアラートの表示」を参照してください。
- 評価版ルールのテストを続けます。
注:他のデバッグ ツールと同様に、メモリ スナップショット機能の使用により、通常とは異なる負荷がかかる場合があります。スナップショットを積極的に作成すると、メモリ スナップショット機能によりESAサービスに遅延が生じることがあります。スナップショット作成時には、ESAサービスはアラートの生成を停止します。RSAでは、新しいルールのテストが完了した後に、メモリ スナップショット機能を無効にすることを推奨します。メモリ スナップショット機能を無効にすると、メモリ使用量が構成した閾値を超過したときに評価版ルールは無効になりますが、メモリのスナップショットは作成されず、ヘルスモニタのシステム統計ブラウザに統計も表示されなくなります。
前提条件
メモリ メトリックを表示するための要件は次のとおりです。
- 1つ以上のESAルールを評価版ルールとして構成する必要があります。
- メモリ スナップショットを有効にする必要があります(NetWitness SuiteエクスプローラのEnabledCaptureSnapshotパラメータを使用)。
- ヘルスモニタの統計を表示するための権限が必要です。
- メモリ閾値を超過した場合にメールで通知するよう、ヘルスモニタのポリシーが構成されている必要があります。
手順
メモリ メトリックの表示
- [管理]>[ヘルスモニタ]>[システム統計ブラウザ]に移動します。
- コンポーネントとして[Event Stream Analysis]を選択します。カテゴリに、「ESA-Metrics」と入力します。
[サブアイテム]フィールドにルールの名前が、[値]列にメモリの使用量が表示されます。
注:[最終更新]フィールドには、ヘルスモニタがESAをポーリングした時間が表示されます。しかし、メモリ スナップショットを取得するのはメモリ閾値が超過した場合だけであるため、スナップショットが作成または更新された時間はこのフィールドには反映されません。スナップショットは、メモリの閾値超過が再び発生するまでそのまま残ります。たとえば、メモリの閾値超過が2015年10月10日の正午に発生した、ヘルスモニタのポーリングが2015年10月10日の午後3時に行われた場合は、[最終更新]フィールドの日付には「2015/10/10 3 p.m.」と表示されます。