Alertas: Trabajar con reglas de prueba

Document created by RSA Information Design and Development on Apr 23, 2018
Version 1Show Document
  • View in full screen mode
 

Cuando las reglas usan demasiada memoria, el servicio ESA puede ser lento o dejar de responder. Para asegurarse de que las reglas no usen una cantidad excesiva de memoria, puede habilitar reglas de prueba para cualquier tipo de regla. De forma predeterminada, las reglas nuevas que usted crea y las reglas de RSA Live que importa se configuran como reglas de prueba. RSA recomienda deshabilitar la configuración de las reglas de prueba solo después de probar la regla nueva en su ambiente durante el tráfico de red normal y máximo. Cuando se crea una regla de prueba, se configura un umbral global del porcentaje de memoria que pueden usar las reglas. Si se supera ese umbral de la memoria configurado, todas las reglas de prueba se inhabilitan.

El servicio NetWitness Suite Event Stream Analysis (ESA) puede procesar grandes volúmenes de datos de eventos dispares desde Concentrators. Sin embargo, cuando trabaja con Event Stream Analysis, es posible crear reglas que usan una cantidad excesiva de memoria. Esto puede retrasar el servicio de ESA o incluso hacer que se apague de forma inesperada. Para asegurarse de que esto no suceda, puede configurar una regla como regla de prueba. Cuando se configura una regla de prueba, también se configura un umbral global del porcentaje de memoria que pueden usar las reglas. Si se supera ese umbral de la memoria configurado, todas las reglas de prueba se inhabilitan automáticamente.

Para obtener sugerencias sobre la creación de reglas más eficientes, consulte “Mejores prácticas para escribir reglas” en Mejores prácticas.

De forma predeterminada, las reglas nuevas y las reglas de RSA Live se configuran como reglas de prueba. Como mejor práctica, cuando edite una regla existente, seleccione la opción Regla de prueba, ya que esto le permite:

  • Implementar la regla con un resguardo adicional.
  • Opcionalmente, ver un snapshot de la utilización de la memoria para comprender si la regla crea problemas relacionados con la memoria.
  • Saber si debe modificar los criterios de la regla para mejorar el rendimiento.

Nota: ejecute una regla como regla de prueba bastante tiempo, de modo que pueda determinar el rendimiento durante el tráfico de red normal y máximo. 

You are here
Table of Contents > Trabajar con reglas de prueba

Attachments

    Outcomes