負荷の高いアクティビティの期間中にデータ ソースによって処理されているイベントを失わないようにするために追加される、固定の時間遅延を分単位で指定します。たとえば、Concentratorのパフォーマンスは、受け取る負荷、実行するクエリー、インデックス作成などの要因によって異なります。これらの要因により、Concentratorはイベントをリアルタイムで集計できないことがあり、これが遅延につながります。 遅延パラメーターを設定すると、Concentratorが全データの集計を完了することが可能になります。遅延時間を指定して最初にモジュールを導入すると、データの集計は現在の(システム)時間-遅延時間-ウォーム アップ期間に開始されます。たとえば、現在の時間が午後2時00分、遅延時間が30分、ウォーム アップ期間が4時間である場合に、モジュールを初めて導入すると、データ コレクションは午前9時30分(午後2時00分-0.5時間-4時間)に開始されます。 ウォーム アップ期間が完了すると、データの集計は現在の(システム)時間-遅延時間で継続されます。この設定は、Concentratorによるデータの集計が低速の場合に役立ちます。遅延時間により、モジュールが遅延時間のタイム ウィンドウ内にConcentratorに到着するデータを処理しないことが保証されるため、エンタープライズで生成されたすべてのイベントを確実にモジュールで処理できる適切な遅延が生じます。 たとえば、遅延時間が30分、現在の時間が午後2時00分の場合、Concentratorはレコードの受信を午後1時30分に開始します。遅延時間のタイム ウィンドウ、この例では30分が、時間の先行分として常に残ります。現在の時間が午後2時01分に進むと、Concentratorは次の1分である午後1時31分のデータを取得します。以降も同様です。 重要:遅延時間では、現在の時間とモジュールがデータを取得する時間の間のバッファを定義します。 遅延時間の値は、特定のマッピングに固有のもので、導入した後、そのマッピング内のすべてのConcentratorに適用されます。Concentratorが、別の遅延時間を持つ2つのモジュール間で共有される場合、Concentratorは各モジュール マッピングについて別々の遅延時間値を使用します。 注意:RSAでは、イベントを集計中に欠落させないように、管理者が個々のConcentratorのパフォーマンスに基づいて動的に遅延時間パラメーターを調整することを推奨します。 正確な遅延時間を判断するには、次を合計して、環境の遅延時間を求めます。 1. ログまたはパケット レイテンシ:これは、Log Decoderがログを受信するのに要する時間、または(Packet)Decoderがパケットを受信するのに要する時間です。たとえば、Log Decoderはログを20分ごとに取得するとします。この場合、遅延時間を最短でも20分、できれば25分に設定して、イベントの見落としがないようにします。 2. 集計レイテンシ:これは、Log DecoderからConcentratorにデータを取得するのに要する時間です。 3. その他のバッファ:お使いの環境に固有のすべてのその他の時間遅延を追加します。 |