導入:グループ集計の構成

Document created by RSA Information Design and Development on Apr 19, 2018Last modified by RSA Information Design and Development on Apr 19, 2018
Version 2Show Document
  • View in full screen mode
 

グループ集計を使用すると、複数のArchiverサービスまたはConcentratorサービスを1つのグループとして構成して、これらのサービス間で集計タスクを分担できます。複数のArchiverサービスまたはConcentratorサービスで複数のLog Decoderサービスからのデータを効率的に集計するように構成して、次のようなデータに対するクエリのパフォーマンスを向上させることができます。

  • Archiverに格納されているデータ。
  • Concentratorで処理されるデータ。

グループ集計導入に関するRSAの推奨事項

RSAでは、グループ集計の導入環境として次のような構成を推奨しています。

  • 1~ 2個のLog Decoder
  • 3~5個のArchiverまたはConcentrator

グループ集計を使用するメリット

グループ集計:

  • Security Analyticsクエリの速度が向上します。
  • 集計クエリ(件数と合計)のパフォーマンスが向上します。
  • 調査のパフォーマンスが向上します。
  • 調査目的で、データをより長い期間格納するオプションを使用できます。

次の図はグループ集計を示しています。

グループ集計の図

任意の数のArchiverまたはConcentratorをまとめて、1つの集計グループを形成できます。すべての集計対象のセッションは、Aggregate Max Sessionsパラメータで定義したセッション数に基づいて、グループ内のArchiverまたはConcentratorサービスに分割されます。

たとえば、集計グループが2つのArchiverサービスまたは2つのConcentratorサービスで構成され、Aggregate Max Sessionsパラメータが10000に設定されている場合は、サービス間でセッションが次の表で示すように分割されます。

                     
Archiver 0またはConcentrator 0 Archiver 1またはConcentrator 1
1 - 9,99910,000 - 19,999
20,000 - 29,99930,000 - 39,999
40,000 - 49,99950,000 - 59,999

グループ集計の構成

複数のArchiverサービスまたはConcentratorサービスを1つのグループとして構成し、これらのサービス間で集計タスクを分担するには、この手順を実行します。

前提条件

グループ集計用のネットワーク設計を計画します。次の図にグループ集計の設定の例を示します。

グループ集計の設定例

次の表にあるグループ集計パラメータを理解し、グループ集計のプランを作成します。

                         
パラメータ説明
グループ名ArchiverまたはConcentratorが属するグループを指定します。
Log Decoderからデータを集計するグループは、任意の数だけ追加できます。Log Decoderは、[グループ名]パラメータによりどのArchiverまたはConcentratorサービスが連携しているかを特定します。グループ内のすべてのArchiverまたはConcentratorサービスで、同じグループ名が使用されます。
サイズ集計グループ内のArchiverまたはConcentratorサービスの数を指定します。
メンバー番号集計グループ内でのArchiverまたはConcentratorの番号を指定します。サイズがNのグループの場合、集計グループ内のArchiverまたはConcentratorサービスごとに、メンバー番号を0からN-1の間で設定する必要があります。
次に例を示します。集計グループのサイズが2の場合、1つのArchiverまたはConcentratorサービスのメンバー番号を0に指定し、もう1つのArchiverまたはConcentratorのメンバー番号を1に指定する必要があります。
メンバーシップ モード

メンバーシップ モードは、[新規]と[置換]の2種類です。
新規:新しいArchiverまたはConcentratorサービスをメンバーとして既存の集計グループに追加するか、または新しい集計グループを作成します。ArchiverまたはConcentratorサービスは、集計対象サービスの既存のセッションを集計しません。グループ内の他のメンバーにより、既存のすべてのセッションが集計済みであるとみなします。このArchiverまたはConcentratorサービスが集計するのは、新しいセッションのみです。
置換:既存の集計グループのメンバーを置換します。ArchiverまたはConcentratorサービスは、集計対象サービスで使用可能なセッションのうち、最も古いセッションから集計を開始します。

注:このパラメータが有効になるのは、集計対象のサービスのセッションが全く集計されていない場合のみです。セッションの一部でも集計されていれば、このパラメータは機能しません。

 

グループ集計の設定

グループ集計を設定するには、次の手順を実行します。

  1. ご使用の環境で複数のArchiverサービスまたはConcentratorサービスを構成します。すべてのサービスに必ず同じLog Decoderをデータ ソースとして追加してください。
  2. 集計グループに含めるすべてのArchiverサービスまたはConcentratorサービスで次の手順を実行します。

    1. メイン メニューで、[管理]>[サービス]を選択します。
    2. ArchiverサービスまたはConcentratorサービスを選択し、さらに[アクション]列で[表示]>[構成]を選択します。
      ArchiverまたはConcentratorの[デバイス]の[構成]ビューが表示されます。
    3. サービスの集計]セクションで、Log Decoderデバイスを選択します。
    4. Log Decoderのステータスがオンラインの場合は、をクリックして、ステータスをオフラインに変更します。
    5. をクリックします。

      サービス集計の編集]ダイアログが表示されます。

      サービス集計の編集

    6. group_aggregation_button.pngをクリックします。

      グループ集計の編集]ダイアログが表示されます。

      グループ集計の編集

    7. 有効]]チェック ボックスをオンにし、次のパラメータを設定します。

      グループ名]フィールドに、グループ名を入力します。
      サイズ]フィールドで、集計グループに含めるArchiverまたはConcentratorサービスの数を選択します。
      メンバー番号]フィールドで、集計グループ内でのArchiverまたはConcentratorの番号を選択します。
      メンバーシップ モード]ドロップダウン メニューでモードを選択します。

    8. 保存]をクリックします。
    9. [サービス]の[構成]ビュー ページで、[適用]をクリックします。
    10. 集計グループに追加するその他すべてのArchiverサービスまたはConcentratorサービスで、ステップbからステップiを実行します。
  3. 集計の構成]セクションで、[Aggregate Max Sessions]パラメータを[10000]に設定します。

    集計最大セッション数の入力

You are here
Table of Contents > 導入:グループ集計の構成

Attachments

    Outcomes