グループ集計を使用すると、複数のArchiverサービスまたはConcentratorサービスを1つのグループとして構成して、これらのサービス間で集計タスクを分担できます。複数のArchiverサービスまたはConcentratorサービスで複数のLog Decoderサービスからのデータを効率的に集計するように構成して、次のようなデータに対するクエリのパフォーマンスを向上させることができます。
- Archiverに格納されているデータ。
- Concentratorで処理されるデータ。
グループ集計導入に関するRSAの推奨事項
RSAでは、グループ集計の導入環境として次のような構成を推奨しています。
- 1~ 2個のLog Decoder
- 3~5個のArchiverまたはConcentrator
グループ集計を使用するメリット
グループ集計:
- Security Analyticsクエリの速度が向上します。
- 集計クエリ(件数と合計)のパフォーマンスが向上します。
- 調査のパフォーマンスが向上します。
- 調査目的で、データをより長い期間格納するオプションを使用できます。
次の図はグループ集計を示しています。
任意の数のArchiverまたはConcentratorをまとめて、1つの集計グループを形成できます。すべての集計対象のセッションは、Aggregate Max Sessionsパラメータで定義したセッション数に基づいて、グループ内のArchiverまたはConcentratorサービスに分割されます。
たとえば、集計グループが2つのArchiverサービスまたは2つのConcentratorサービスで構成され、Aggregate Max Sessionsパラメータが10000に設定されている場合は、サービス間でセッションが次の表で示すように分割されます。
グループ集計の構成
複数のArchiverサービスまたはConcentratorサービスを1つのグループとして構成し、これらのサービス間で集計タスクを分担するには、この手順を実行します。
前提条件
グループ集計用のネットワーク設計を計画します。次の図にグループ集計の設定の例を示します。
次の表にあるグループ集計パラメータを理解し、グループ集計のプランを作成します。
グループ集計の設定
グループ集計を設定するには、次の手順を実行します。
- ご使用の環境で複数のArchiverサービスまたはConcentratorサービスを構成します。すべてのサービスに必ず同じLog Decoderをデータ ソースとして追加してください。
-
集計グループに含めるすべてのArchiverサービスまたはConcentratorサービスで次の手順を実行します。
- メイン メニューで、[管理]>[サービス]を選択します。
- ArchiverサービスまたはConcentratorサービスを選択し、さらに[アクション]列で[表示]>[構成]を選択します。
ArchiverまたはConcentratorの[デバイス]の[構成]ビューが表示されます。 - [サービスの集計]セクションで、Log Decoderデバイスを選択します。
- Log Decoderのステータスがオンラインの場合は、
をクリックして、ステータスをオフラインに変更します。
-
[サービス集計の編集]ダイアログが表示されます。
-
[グループ集計の編集]ダイアログが表示されます。
-
[有効]]チェック ボックスをオンにし、次のパラメータを設定します。
[グループ名]フィールドに、グループ名を入力します。
[サイズ]フィールドで、集計グループに含めるArchiverまたはConcentratorサービスの数を選択します。
[メンバー番号]フィールドで、集計グループ内でのArchiverまたはConcentratorの番号を選択します。
[メンバーシップ モード]ドロップダウン メニューでモードを選択します。 - [保存]をクリックします。
- [サービス]の[構成]ビュー ページで、[適用]をクリックします。
- 集計グループに追加するその他すべてのArchiverサービスまたはConcentratorサービスで、ステップbからステップiを実行します。
-
[集計の構成]セクションで、[Aggregate Max Sessions]パラメータを[10000]に設定します。