Alerting: Ver métricas de memoria para reglas mediante el modo de prueba

Document created by RSA Information Design and Development on Apr 23, 2018
Version 1Show Document
  • View in full screen mode
 

En este tema se explica a los escritores de reglas de ESA cómo ver las métricas de memoria cuando se supera el umbral de la memoria configurado para las reglas de prueba. Si se supera el umbral de la memoria, puede configurar la toma de una instantánea del uso de la memoria para las reglas de ESA en el momento en que las reglas de prueba están deshabilitadas, lo cual permite investigar el uso de la memoria y editar las reglas para que sean más eficientes.

Cuando configura reglas de prueba y habilita la función Snapshot de la memoria, si se supera el umbral de la memoria, se inhabilitan todas las reglas de prueba y se toma un snapshot del uso de la memoria para todas las reglas de ESA en el momento en que las reglas están inhabilitadas. Esto permite ver cuánta memoria se usó y también permite modificar las reglas de ESA de modo que sean más eficientes. La instantánea de la memoria se puede ver en el Navegador de estadísticas del sistema de Estado y condición, lo cual hará necesario disponer de permisos para acceder este módulo. Una vez que consulta los detalles en el Navegador de estadísticas del sistema, puede modificar la sintaxis de las reglas de prueba y volver a habilitarlas.

En general, tendrá que realizar los siguientes pasos para usar el snapshot de la memoria con el fin de solucionar problemas relacionados con el uso de la memoria para las reglas:

  1. Habilite reglas de prueba para cualquier regla nueva que implemente. Consulte Implementar reglas como reglas de prueba.
  2. Asegúrese de haber configurado políticas de ESA de Estado y condición para enviar un correo electrónico si se superan los umbrales de la memoria.
  3. Asegúrese de disponer de los permisos correctos para ver el módulo Estado y condición. Para obtener información sobre las funciones y los permisos, consulte Permisos de función.
  4. Asegúrese de que la función Instantánea de la memoria esté habilitada (mediante el parámetro EnabledCaptureSnapshot en el Explorador de NetWitness Suite). La función Instantánea de la memoria está deshabilitada de forma predeterminada. Consulte “Habilitación y deshabilitación de la función Instantánea de la memoria” a continuación. RSA recomienda deshabilitar la función cuando se haya terminado de probar las reglas nuevas.
  5. Si el umbral de la memoria se activa para las reglas de prueba, vea las estadísticas del umbral en Estado y condición.
  6. Modifique la o las reglas que activaron la alarma. Para revisar mejores prácticas relacionadas con la escritura de reglas, consulte Mejores prácticas.
  7. Vuelva a habilitar las reglas de prueba que se deshabilitaron cuando se activó el umbral de la memoria. Para obtener instrucciones sobre la rehabilitación de las reglas de prueba en un servicio, consulte Ver estadísticas y alertas de ESA.
  8. Continúe probando las reglas de prueba. 

Nota: Como sucede con cualquier herramienta de depuración, puede haber una sobrecarga excepcional asociada al uso de la función Instantánea de la memoria. Cuando se toma activamente un snapshot, la función Snapshot de la memoria puede implicar demoras en los servicios de ESA. El servicio ESA deja de generar alertas mientras se toma una instantánea. RSA recomienda deshabilitar la función una vez que haya terminado de probar las reglas nuevas. Si inhabilita la función Instantánea de la memoria, las reglas de prueba continuarán deshabilitadas cuando el uso de la memoria supere los umbrales configurados, pero la instantánea de la memoria no se tomará y las estadísticas no aparecerán en el Navegador de estadísticas del sistema de Estado y condición.

Requisitos previos

Estos son los requisitos para la visualización de métricas de memoria:

  • Se debe configurar una o más reglas de ESA como una regla de prueba.
  • La función Instantánea de la memoria debe estar habilitada (mediante el parámetro EnabledCaptureSnapshot en el Explorador de NetWitness Suite).
  • El usuario debe tener los permisos apropiados para ver estadísticas de Estado y condición. 
  • El usuario debe haber configurado la política de ESA de Estado y condición para enviar un correo electrónico si se superan los umbrales de la memoria.

Procedimientos

Ver métricas de memoria

  1. Vaya a ADMIN > Estado y condición > Navegador de estadísticas del sistema.
  2. Como componente, seleccione Event Stream Analysis. Como categoría, ingrese ESA-Metrics.

Métricas de memoria de Estado y condición

El nombre de la regla se muestra en el campo Subelemento y el uso de la memoria, en la columna Valor.

Nota: El campo Última actualización refleja el momento en que Estado y condición sondea a ESA. Sin embargo, la instantánea de la memoria solo ocurre cuando se superan los umbrales de la memoria, razón por la cual este campo no refleja cuándo se tomó o se actualizó la instantánea. La instantánea permanece estática hasta que se vuelve a superar el umbral de la memoria. Por ejemplo, si el umbral de la memoria se supera el 10/10/2015 a las 12:00 h, pero Estado y condición realiza un sondeo el 10/10/2015 a las 15:00 h, el campo Última actualización mostrará la fecha 10/10/2015 15:00 h. 

Habilitar o deshabilitar la función Instantánea de la memoria

  1. Vaya a ADMIN > Serviciosy seleccione su ESA. 
  2. Seleccione Ícono Acciones > Ver > Explorary navegue a CEP > Métricas > Configuración, como se muestra a continuación.
    Vista Explorar del servicio ESA Habilitar instantánea de la memoria
  3. Cambie el campo EnabledCaptureSnapshot a true o false de acuerdo con su decisión de habilitar o deshabilitar la función Instantánea de la memoria. 
You are here
Table of Contents > Trabajar con reglas de prueba > Ver métricas de memoria para reglas mediante el modo de prueba

Attachments

    Outcomes