ESA構成:評価版ルールのメモリ閾値の変更

Document created by RSA Information Design and Development on Apr 19, 2018
Version 1Show Document
  • View in full screen mode
 

この処理手順は省略可能で、ESA相関ルールにのみ適用されます。

管理者は、評価版ルールのメモリの閾値を増減できます。閾値とはESAのメモリの使用量を指します。これにはESAベース メモリ、評価版ルール、非評価版ルールが含まれます。閾値を超えると、ESAサービス上に導入されている評価版ルールすべてが無効になります。 

評価版ルールを使用して、ルールが効率的に実行されているか、またメモリを使いすぎていないかどうかを確認します。効率性に問題があると、パフォーマンスに影響を及ぼしたり、サービスが強制的にシャットダウンしたりする場合があります。

デフォルトのメモリの閾値は85です。これは、JVM(Java仮想メモリ)のパーセンテージです。

  • メモリの閾値はESAあたりの値です。ルールあたりの値ではありません。
  • メモリの閾値を超えると、ESAで実行されているすべての評価版ルールが自動的に無効になります。 
  • ESA構成には、次の2つの評価版ルール パラメータが含まれます。
    • MemoryThresholdforTrialRules
    • MemoryCheckPeriod(デフォルト値は300秒)

詳細については、「ESAを使用したアラート ガイド」の「評価版ルールの使用」を参照してください。

前提条件

管理権限のロールが割り当てられている必要があります。

手順

  1. NetWitness Suiteにadminでログオンします。
  2. 管理]>[サービス]に移動します。
  3. ESAサービスを選択して、[アクション]アイコン>[表示]>[エクスプローラ]を選択します。
  4. 左側のパネルで、[CEP]>Module]>[Configuration]を選択します。
    メモリの閾値の構成が表示されているESAサービスの[構成]ビュー
  5. 右側のパネルの[MemoryThresholdForTrialRules]に、ESAの評価版ルールにおけるJVMの上限のパーセンテージを入力します。
    新しいメモリの閾値はすぐに有効になります。
You are here
Table of Contents > ESA相関ルールのその他の処理手順 > 評価版ルールのメモリ閾値の変更

Attachments

    Outcomes