Déploiement : Configurer l'agrégation de groupes[1]

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by Susan Ewald on Apr 23, 2018
Version 2Show Document
  • View in full screen mode
 

Utilisez l'agrégation de groupes pour configurer plusieurs services Archiver ou Concentrator en tant que groupe et partager les tâches d'agrégation entre eux. Vous pouvez configurer plusieurs services Archiver or Concentrator pour agréger de manière efficace plusieurs services Log Decoder et améliorer les performances des requêtes sur les données :

  • Stockées dans l'Archiver.
  • Traitées par le biais du Concentrator.

Recommandations à propos du déploiement d'agrégation de groupes RSA

RSA recommande le déploiement suivant pour l'agrégation de groupes.

  • 1 - 2 Log Decoders
  • 3 - 5 Archivers ou Concentrators

Avantages de l'utilisation de l'agrégation de groupes

Agrégation de groupes :

  • Augmente la vitesse des requêtes Security Analytics.
  • Améliore les performances des requêtes d'agrégation (nombre et somme) sur l'environnement.
  • Améliore les performances du service de procédure d’enquête.
  • Vous permet de stocker des données pour une durée plus longue à des fins de procédure d'enquête.

Le schéma suivant illustre l'agrégation de groupes.

Illustration de l’agrégation de groupe

Vous pouvez avoir un nombre quelconque de modules Archivers ou Concentrators regroupés qui forment un groupe d'agrégation. Les services Archiver or Concentrator du groupe divisent toute la session agrégée entre eux sur la base du nombre de sessions définies dans le paramètre Sessions d'agrégation maximum.

Par exemple, dans un groupe d'agrégation contenant 2 services Archiver ou 2 services Concentrator avec le paramètre Sessions d'agrégation maximum défini sur 10 000, les services divisent la session entre eux tel qu'illustré dans le tableau ci-dessous.

                     
Archiver 0 ou Concentrator 0 Archiver 1 ou Concentrator 1
1 à 9 99910 000 à 19 999
20 000 à 29 99930 000 à 39 999
40 000 à 49 99950 000 à 59 999

Configurer l'agrégation de groupes

Exécutez cette procédure pour configurer plusieurs services Archiver ou Concentrator sous la forme de groupes et partagez les tâches d'agrégation entre eux.

Conditions préalables

Planifiez la conception du réseau pour l'agrégation de groupes. La figure ci-après présente un exemple de configuration d'agrégation de groupes.

Exemple de configuration d’agrégation de groupes

Veillez à bien examiner les paramètres d'agrégation de groupes dans le tableau suivant avant de créer un plan d'agrégation de groupes.

                         
ParamètreDescription
Nom de groupeDétermine le groupe auquel appartient l'Archiver ou le Concentrator.
Vous pouvez ajouter autant de données d'agrégation de groupes d'un Log Decoder que voulu. Le paramètre Nom du groupe est utilisé par le Log Decoder pour identifier les services Archiver ou Concentrator qui interagissent. Tous les services Archiver ou Concentrators du groupe doivent porter le même nom de groupe.
TailleDétermine le nombre de services Archiver ou Concentrator du groupe d'agrégation.
Numéro de membreDétermine la position des services Archiver ou Concentrator dans le groupe d'agrégation. Pour un groupe de taille N, vous devez définir un numéro de membre de 0 à N-1 sur chaque service Archiver ou Concentrators dans le groupe d'agrégation.
Par exemple : Si la taille du groupe d'agrégation est de 2, le numéro de membre de l'un des services Archiver ou Concentrator doit être défini sur 0 et le numéro de membre de l'autre Archiver ou Concentrator doit être défini sur 1.
Mode Adhésion

Il existe deux modes d'adhésion : Nouveau et Remplacer.
Nouveau : Permet d'ajouter un nouveau service Archiver ou Concentrator en tant que membre au groupe d'agrégation actuel ou de créer un tel groupe. Le service Archiver ou Concentrator n'agrège aucune session du service car les autres membres du groupe auraient déjà agrégé toutes les sessions sur le service. Ce service Archiver ou Concentrator n’agrégera que les nouvelles sessions telles qu'elles apparaissent sur le service.
Remplacer : Remplace un membre d'un groupe d'agrégation. Le service Archiver ou Concentrator lance l'agrégation à partir de la session la plus ancienne sur le service à partir duquel l'agrégation a lieu.

Remarque : Ce paramètre a une incidence uniquement quand aucune session n'a été agrégée à partir du service. Après l'agrégation de certaines sessions, ce paramètre n'a aucun effet.

 

Configurer l'agrégation de groupes

Effectuez la procédure suivante pour configurer l'agrégation de groupes.

  1. Configurez plusieurs services Archiver ou Concentrator dans votre environnement. Veillez à ajouter le même Log Decoder en tant que source de données à tous les services.
  2. Procédez comme suit sur tous les services Archiver ou Concentrator que vous voulez ajouter au groupe d'agrégation :

    1. Dans le Menu principal, sélectionnez ADMIN > Services.
    2. Sélectionnez le service Archiver ou Concentrator, puis dans la colonne Actions, sélectionnez Vue > Config.
      La vue Configuration du périphérique du service Archiver ou Concentrator s'affiche.
    3. Dans la section Services agrégés, sélectionnez le périphérique Log Decoder.
    4. Cliquez sur pour modifier le statut de Log Decoder sur hors ligne s'il est en ligne.
    5. Cliquez sur .

      La boîte de dialogue Modifier le service agrégé s'affiche.

      Modifier le service agrégé

    6. Cliquez sur group_aggregation_button.png.

      La boîte de dialogue Modifier l'agrégation des groupes s'affiche.

      Modifier l'agrégation de groupes

    7. Sélectionnez la case à cocher Activé et définissez les paramètres suivants :

      Dans le champ Nom du groupe, saisissez le nom du groupe.
      Dans le champ Taille, sélectionnez le nombre de services Archiver ou Concentrator du groupe d'agrégation.
      Dans le champ Numéro de membre, sélectionnez la position d'Archiver ou Concentrator dans le groupe d'agrégation.
      Dans le menu déroulant Mode Adhésion, sélectionnez le mode.

    8. Cliquez sur Save.
    9. Dans la page de la vue Configuration du périphérique, cliquez sur Appliquer.
    10. Effectuez l'étape b à l'étape i sur tous les autres services Archiver ou Concentrator qui doivent faire partie de l'agrégation de groupe.
  3. Dans la section Configuration de l'agrégation, définissez le paramètre Sessions d'agrégation max. sur 10000.

    Saisissez les Sessions d'agrégation max

You are here
Table of Contents > Deployment: Configure Group Aggregation

Attachments

    Outcomes