ルールのメモリ使用量が多すぎると、ESAサービスの処理が遅延したり、無応答状態になったりする可能性があります。ルールがメモリを過剰に使用するのを防ぐには、あらゆる種類のルールで評価版ルールを有効にします。デフォルトでは、作成した新しいルールとインポートしたRSA Liveルールは、評価版ルールとして構成されます。RSAでは、お使いの環境の通常時とピーク時のネットワーク トラフィックで新しいルールをテストした後でのみ、評価版ルール設定を無効化することをお勧めします。評価版ルールを作成するときに、ルールが使用できるメモリの割合をグローバル閾値として設定します。設定されたメモリ閾値を超えると、すべての評価版ルールが無効になります。
NetWitness Suite ESA(Event Stream Analysis)サービスは、Concentratorから受信する大量の雑多なイベント データを処理することができます。ただし、過度なメモリを使用するルールを作成してしまう場合があります。このようなルールにより、ESAサービスの処理が遅延したり、予期しないシャットダウンが発生する場合があります。ルールを評価版ルールとして構成することで、このようなことが起こらないようにできます。評価版ルールを構成する場合は、ルールが使用可能なメモリの割合をグローバル閾値として設定します。構成されたメモリ閾値を超えた場合は、すべての評価版ルールが自動的に無効になります。
より効率的なルールを作成するヒントについては、ベスト プラクティスの「ルール作成のベスト プラクティス」を参照してください。
デフォルトでは、新しいルールとRSA Liveルールは、評価版ルールとして構成されます。ベスト プラクティスとして、既存のルールを編集するときにも、評価版ルール オプションを選択します。このオプションを選択すると、次のことが可能になります。
- 安全対策を講じた上で、ルールを導入する。
- オプションで、メモリ使用率のスナップショットを表示して、ルールによってメモリに問題が生じていないか確認する。
- ルールの条件を変更してパフォーマンスを向上させる必要があるがどうかを判断する。
注:ルールを評価版ルールとして実行し、通常時およびピーク時のネットワーク トラフィックで十分な時間をかけてパフォーマンスを評価してください。