La agregación de grupos se usa para configurar varios servicios Archiver o Concentrator como un grupo y compartir las tareas de agregación entre ellos. Puede configurar varios servicios Archiver o Concentrator para que agreguen de manera eficiente desde varios servicios Log Decoder con el fin de mejorar el rendimiento de las consultas en los datos:
- Almacenados en el Archiver.
- Procesados a través del Concentrator.
Recomendaciones para la implementación de la agregación de grupos de RSA
RSA recomienda la siguiente implementación para la agregación de grupos.
- Entre uno y dos Log Decoders
- Entre tres y cinco Archivers o Concentrators
Ventajas de usar la agregación de grupos
Agregación de grupos:
- Aumenta la velocidad de las consultas de Security Analytics.
- Mejora el rendimiento de las consultas agregadas (Count y Sum) en el ambiente.
- Mejora el rendimiento del servicio de investigación.
- Ofrece la opción de almacenar datos durante más tiempo con fines de investigación.
En el siguiente diagrama se ilustra la agregación de grupos.
Puede haber una cantidad indefinida de Archivers o Concentrators agrupados, los cuales forman un grupo de agregación. Los servicios Archiver o Concentrator del grupo dividen toda la sesión agregada entre ellos de acuerdo con la cantidad de sesiones definidas en el parámetro Sesiones máximas de agregación.
Por ejemplo, en un grupo de agregación que contiene dos servicios Archiver o dos servicios Concentrator con el parámetro Sesiones máximas de agregación configurado en 10,000, los servicios dividirían la sesión entre ellos como se ilustra en la siguiente tabla.
Configurar la agregación de grupos
Complete este procedimiento para configurar múltiples servicios Archiver o Concentrator como un grupo y compartir las tareas de agregación entre ellos.
Requisitos previos
Planee el diseño de la red para la agregación de grupos. La siguiente figura es un ejemplo de una configuración de agregación de grupos.
Asegúrese de comprender los parámetros de agregación de grupos de la siguiente tabla y de crear un plan de agregación de grupos.
Configurar la agregación de grupos
Complete el siguiente procedimiento para configurar la agregación de grupos.
- Configure varios servicios Archiver o Concentrator en el ambiente. Asegúrese de agregar el mismo Log Decoder como origen de datos en todos los servicios.
-
Realice lo siguiente en todos los servicios de Archiver o Concentrator que desea que formen parte del grupo de agregación:
- En el menú principal, seleccione ADMIN > Servicios.
- Seleccione el servicio Archiver o Concentrator y, en la columna Acciones, seleccione Ver > Configuración.
Se muestra la vista Configuración del dispositivo de Archiver o Concentrator. - En la sección Servicios agregados, seleccione el dispositivo de Log Decoder.
- Haga clic en
para cambiar el estado de Log Decoder a offline si se encuentra en línea.
-
Se muestra el cuadro de diálogo Editar servicio agregado.
-
Se muestra el cuadro de diálogo Editar agregación de grupos.
-
Seleccione la casilla de verificación Activado y configure los siguientes parámetros:
En el campo Nombre del grupo, escriba el nombre del grupo.
En el campo Tamaño, seleccione la cantidad de servicios Archiver o Concentrator en el grupo de agregación.
En el campo Número de miembro, seleccione la posición de Archiver o Concentrator en el grupo de agregación.
En el menú desplegable Modo de membresía, seleccione el modo. - Haga clic en Guardar.
- En la página Vista de configuración del dispositivo, haga clic en Aplicar.
- Realice del paso b al paso i en todos los demás servicios Archiver o Concentrator que deben ser parte de la agregación de grupos.
-
En la sección Configuración de agregación, configure el parámetro Sesiones máximas de agregación en 10000.