レポート:レポートに関する推奨事項

Document created by RSA Information Design and Development on Apr 20, 2018
Version 1Show Document
  • View in full screen mode

このセクションでは、Reportsのエンティティ(ルール、レポート、アラート、チャート、リストなど)の実行時間を短縮するためにRSAが推奨するガイドラインを紹介します。以下のガイドラインについて記述しています。

  • NWDBルール
  • NWDBルールのタイムアウト構成
  • Lookup and Addルール アクション
  • リスト値レポート

NWDBルール

レポート、アラート、チャートなどのReportingのエンティティにNWDBルールが含まれていて(ほとんどの場合、クエリにグループ化が含まれている)、実行に時間がかかる場合、次の項目を試してください。 

  1. WHERE句を調整する。
    (特に[グループ化]オプションを使用する場合)WHERE句を使用するか調整することでスキャン対象セッション数を制限できます。たとえば、次のルールを検討します。
    WHERE句を調整する。


    前述のWHERE句を使用した場合、集計対象のセッションが膨大な数に上ります。この場合、一連のIPアドレスを指定するか、関係するIPアドレスを含んだリスト(List of IP Address)を作成し、必要なセッションだけをフィルタで抽出することによって、それを防ぐことができます。
    WHERE句を調整する。  
  2. インデックス作成済みのメタ キーをWHERE句に使用する。
    メタのインデックスが作成されているかどうかを把握するには、マウスをメタ キーに合わせます。値タイプがINDEX_VALUEである場合、そのメタにはインデックスが作成されています。メタにインデックスが作成されていない場合、値タイプはINDEX_KEYまたはINDEX_NONEとなります。

    次に示したのは、インデックスが作成されているメタ キーのスナップショットです。
    インデックスが作成されたメタ キー
     
  3. [タイムアウト]オプションを構成する。
    クエリに時間がかかり、タイムアウトが発生して失敗する場合、NWDBルール実行のタイムアウトを構成することができます。詳細については、以下のセクション「NWDBルールのタイムアウト構成」を参照してください。 
  4. 異なる時刻に実行するようにクエリのスケジュールを設定する。
    複数の集計クエリが同時に実行されタイムアウトが発生するようであれば、それらのクエリを別々の時刻に実行するようスケジュールを設定し、実行時間が重ならないようにします。 

NWDBルールのタイムアウト構成

注:構成に何らかの変更を加える際は、Reporting EngineとNWDBデータ ソースの統計をあらかじめチェックしておくことを推奨します。詳細については、Reporting Engineの「サービスの詳細の監視」トピックおよび「システム メンテナンス ガイド」の「システム統計情報の監視」トピックを参照してください。   

タイムアウトが原因でNWDBルールが実行に失敗する場合、[レポートの表示]ページに次のエラーが表示されます。 

  • Reporting Engineのタイムアウト エラー
    • 「‘/sdk/values'リクエストに対するレスポンスが、構成されている時間(30分)内にデータソース‘10.31.x.x Concentrator'から返されませんでした。」 
  • NWDBのタイムアウト エラー
    • 「ソース'10.31.x.x Concentrator'からデータをフェッチしているときにエラーが発生しました。{Timeout message from NWDB}。」
  • このような場合、次の方法で対処できます。

    • Reporting Engineのタイムアウト
      Reporting Engineのタイムアウトを調整する場合、時間のかかるクエリが最後まで実行できるようにタイムアウト時間を延長します。Reporting EngineのNWDB Queries Time OutおよびNWDB Info Queries Time Outオプションの設定の詳細については、「Reporting Engine構成ガイド」の「ステップ 2. Reporting Engine設定の構成」のトピックを参照してください。NWDB Query Time Out は0分(タイムアウトなし)に、NWDB Info Queries Time Outは60分に設定することを推奨します。 
    • NWDBタイムアウト
      NWDBタイムアウトの場合は、NWDBデータ ソースのquery.level.timeoutパラメータおよびmax.concurrent.queriesパラメータを構成する必要があります。「コア データベース チューニング ガイド」の推奨事項に基づいて、クエリを微調整してください。
      以下に示したのは、[エクスプローラ]ビューのスナップショットです。NWDBデータ ソースのパラメータは、このビューで設定することができます。
      NWDBデータ ソースのパラメータを設定できる[エクスプローラ]ビュー
    • 異なる時刻に実行するようレポートのスケジュール設定を行う
      NWDBコア デバイスの使用率が高い場合、各レポートが別々の時刻に実行されるようにスケジュールを設定し、実行時間が重ならないようにします。 
    • レポートを分割する
      1つのレポートに多数のルールが存在する場合、いくつかのルールのまとまりごとにレポートを分割します。複数のルールが存在する場合、スレッドの空き状況によっては、すべてのルールの実行が同時に開始されます。そのようなときは、論理的にルールを別個のレポートにグループ化することができます。 

LookupAndAddルール アクション

lookup_and_addルール アクションを少なくとも1つ含んだルールで、レポートの実行時間が長くかかる場合、それぞれのルール アクションで、NWDBデータ ソースに対する複数のルックアップ クエリをトリガーしていることが原因と考えられます。

レポートの実行時間を短縮するには、次の項目を試してください。  

  • 次のWHERE句を調整する
    • lookup_and_addルール アクションを含んだルール
    • lookup_and_addルール アクション
  • 件数を設定する
    ルールとルール アクションに対し、適切な上限を設定する必要があります。上限が高く、トリガーされるクエリが多いと、レポートの実行に時間がかかります。 
  • boolean aggregateパラメータの設定

    ルックアップ値に、sum(meta), count(meta)などの集計値が不要であれば、lookup_and_addルール アクションで、boolean aggregateパラメータをfalseに設定します。詳細については、「NWDBルールの構文」を参照してください。

    lookup_and_add(string select, string field, int limit, boolean inherit, string extraWhere, boolean aggregate)

    次のようなlookup_and_addルール アクションを含むルールがあるとします。

     lookup_and_addルール アクションを含むルール

    出力が表示されます。

     lookup_and_addルール アクションを含むルールの表示

  • それぞれのlookup_and_addルール アクションは、データ ソースに対し、デフォルトで2つの同時ルックアップ クエリをトリガーします。RSAでは、デフォルトの設定を使用することを推奨しますが、この値を増やす場合は、Reporting EngineのMax # of Concurrent LookupAndAdd Queriesパラメータの値が、NWDBデータ ソース構成におけるMax Concurrent Queriesの値よりも小さくなるようにしてください。
    NWDBデータ ソースを他のサービスと共有する場合、他のサービスのクエリに影響が生じるため、Reporting EngineのMax # of Concurrent LookupAndAdd Queriesパラメータの値は低いままの方がよい場合もあります。詳細については、「Reporting Engine構成ガイド」のトピック「Reporting Engineの[全般]タブ」を参照してください。 
  • 調査対象が一意の値のみであって、正確な集計結果が必要ない場合は、NWDBルールのSession Thresholdをゼロ以外に設定します。詳細については、「NetWitnessデータ ソースを使用したルールの定義」を参照してください。値が高いほど、ルールの実行に時間がかかります。この値をゼロに設定した場合、実行時間は長くなりますが、正確な集計結果が得られます。
    次のようなlookup_and_addアクションを含んだルールがあり、[セッション閾値]が10に設定されているとします。
    lookup_and_addルール アクションを含み、[セッション閾値]が10に設定されているルール

    出力が表示されます。
    lookup_and_addルール アクションを含み、[セッション閾値]が10に設定されているルールの表示

リスト値レポート

厳選されたリストを使用します。

(データ ソースのタイプに関係なく)リスト値レポートでは、リスト内の値ごとに各レポートが生成されます。そのため、リストに含まれる値の数が多いほど、レポートの実行に時間がかかります。リスト値レポートを生成する場合は、厳選したリストを使用してください。 

You are here
Table of Contents > レポート:レポートに関する推奨事項

Attachments

    Outcomes