Informes: Guías para informes

Document created by RSA Information Design and Development on May 1, 2018
Version 1Show Document
  • View in full screen mode

En esta sección se enumeran las reglas que recomienda RSA para mejorar el tiempo de ejecución de las entidades informantes, como reglas, informes, alertas, gráficos y listas. Las reglas se proporcionan para lo siguiente:

  • Reglas de NWDB
  • Configuración de tiempo de espera agotado para reglas de NWDB
  • Búsqueda y acción Agregar regla
  • Informes de valores de lista

Reglas de NWDB

Si las entidades informantes como informe, alerta, o gráfico contienen reglas NWDB (en la mayoría de los casos cuando se incluye Agrupar por en la consulta) y demoran mucho en ejecutarse, puede hacer lo siguiente: 

  1. Limitar la cláusula WHERE: 
    Puede limitar la cantidad de sesiones escaneadas mediante el uso o la delimitación de la cláusula WHERE (especialmente cuando usa la opción Agrupar por). Por ejemplo, considere la siguiente regla.
    Limitar la cláusula WHERE


    Si usa una cláusula WHERE como se mencionó anteriormente, la cantidad de sesiones agregadas es enorme. Para evitar esto, puede filtrar solo las sesiones requeridas, para lo cual se especifica la lista de direcciones IP o se crea una lista (lista de direcciones IP) que contiene las direcciones IP correspondientes.
    Limitar la cláusula WHERE  
  2. Uso de claves de METADATOS indexadas en la cláusula WHERE:
    Para entender si los METADATOS están indexados, mantenga el mouse sobre la clave de METADATOS. Si el tipo de valor es INDEX_VALUE, significa que los METADATOS están indexados. El tipo de valor es INDEX_KEY o INDEX_NONE si los METADATOS no están indexados.

    A continuación hay una instantánea de una clave de METADATOS que está indexada.
    Clave de METADATOS que está indexada
     
  3. Configurar la opción Tiempo de espera agotado:
    Si la consulta está tardando mucho y falla debido a problemas de tiempo de espera agotado, puede configurar el tiempo de espera agotado para las ejecuciones de reglas NWDB. Para obtener más información, consulte la siguiente sección Configuración de tiempo de espera agotado para reglas NWDB.  
  4. Programar las consultas para su ejecución a horas diferentes:
    Si varios agregados de consultas se ejecutan al mismo tiempo y se produce tiempo de espera agotado, puede programar las consultas para que se ejecuten a horas diferentes sin mucha superposición. 

Configuración de tiempo de espera agotado para reglas de NWDB

Nota: Es una buena práctica para comprobar las estadísticas de Reporting Engine y los orígenes de datos de NWDB antes de realizar cualquier cambio en la configuración. Para obtener más información, consulte el tema “Monitorear detalles del servicio” para Reporting Engine y “Monitorear estadísticas del sistema” en la Guía de mantenimiento del sistema.   

Si la ejecución de la regla NWDB falla debido a tiempo de espera agotado, puede obtener los siguientes errores en la página Ver un informe: 

  • Error de tiempo de espera de Reporting Engine
    • «El origen de datos “10.31.x.x Concentrator” no respondió dentro del tiempo configurado de 30 minutos para la solicitud “/sdk/values”». 
  • Error de tiempo de espera agotado de NWDB
    • «Se produjo un error al obtener datos del origen “10.31.x.x Concentrator”. {Timeout message from NWDB}».
  • En esta situación, puede hacer lo siguiente:

    • Tiempo de espera agotado de Reporting Engine 
      En caso de tiempo de espera agotado de Reporting Engine, puede configurar el tiempo de espera en una duración mayor para que se puedan ejecutar las consultas largas. Para obtener más información sobre la configuración de las opciones NWDB Queries Time Out y NWDB Info Queries Time Out para Reporting Engine, consulte el tema “Paso 2. Configurar ajustes de Reporting Engine” en la Guía de configuración de Reporting Engine. RSA recomienda configurar NWDB Query Time Out en cero minutos (implica que no hay tiempo de espera) y NWDB Info Queries Time Out en 60 minutos. 
    • Tiempo de espera agotado de NWDB 
      En caso de tiempo de espera agotado de NWDB, puede ser necesario configurar los parámetros query.level.timeout y max.concurrent.queries del origen de datos de NWDB en función de las recomendaciones de la Guía de ajuste de la base de datos de Core para ajustar las consultas.
      La siguiente es la instantánea de la vista Explorador, donde puede configurar los parámetros para el origen de datos de NWDB.
      Vista Explorador, donde puede configurar los parámetros para el origen de datos de NWDB
    • Programar informes a horas diferentes
      Si los dispositivos principales de NWDB son muy utilizados, es posible programar los informes para que se ejecuten a diferentes horas sin superposición. 
    • Dividir el informe
      Si tiene muchas reglas en un informe, divídalo en varios informes, donde cada informe contendrá un conjunto lógico de reglas. Si tiene varias reglas, todas las reglas comenzarán a ejecutarse al mismo tiempo sobre la base de los hilos de ejecución disponibles, por lo tanto puede agrupar las reglas lógicamente en informes separados. 

Acción LookupAndAdd Rule

Si una regla que se compone de acciones de reglas lookup_and_add únicas o múltiples tarda mucho en ejecutar el informe, es porque cada acción de regla activa varias consultas de búsqueda en el origen de datos NWDB, lo que da como resultado un tiempo de ejecución mayor.

Para mejorar el tiempo de ejecución del informe, puede hacer lo siguiente:  

  • Limitar la cláusula WHERE en lo siguiente:
    • Regla que contiene la acción de regla lookup_and_add
    • Acción de regla lookup_and_add
  • Establecer límites
    Debe establecer límites adecuados para las acciones de las reglas y las reglas. Si el límite es alto, hará que se activen muchas consultas y por lo tanto la ejecución del informe demorará mucho tiempo. 
  • Establecer el parámetro de agregación buleano

    Si no desea el valor agregado, como sum(meta), count(meta), etc., para los valores de búsqueda, configure el parámetro de agregación buleano en falso en la acción de regla lookup_and_add. Para obtener más información, consulte Sintaxis de reglas de NWDB.

    lookup_and_add(string select, string field, int limit, boolean inherit, string extraWhere, boolean aggregate)

    Considere la regla con la acción de regla lookup_and_add:

     Regla con la acción de regla lookup_and_add

    Se muestra la salida:

     Se muestra el resultado de la Regla con la acción de regla lookup_and_add

  • Cada acción de regla lookup_and_add activa de forma predeterminada dos consultas de búsqueda simultáneas en el origen de datos. RSA recomienda conservar la configuración predeterminada; sin embargo, si desea aumentar el valor, tal vez desee asegurarse de que el valor del parámetro Max # of Concurrent LookupAndAdd Queries en Reporting Engine sea menor que el valor Max Concurrent Queries en la configuración del origen de datos de NWDB.
    Si el origen de datos de NWDB se comparte en otros servicios, puede conservar un valor bajo para el parámetro Max # of Concurrent LookupAndAdd Queries en Reporting Engine, puesto que aumentarlo afectará las consultas desde otros servicios. Para obtener más información, consulte el tema “Pestaña General de Reporting Engine” de la Guía de configuración de Reporting Engine
  • Si está interesado solo en valores únicos y no en agregados precisos, establezca Session Threshold en un valor distinto de cero para la regla NWDB. Para obtener más información, consulte Definir una regla mediante el origen de datos de NetWitness. Cuanto mayor sea el valor, más demorará la ejecución de la regla. Si el valor se configura en cero, demorará más, pero proporcionará agregados precisos.
    Considere una regla con la acción de regla lookup_and_add y Umbral de sesión configurado en 10.
    Regla con la acción de regla lookup_and_add y Umbral de sesión configurado en 10

    Se muestra la salida:
    Se muestra el resultado de la regla con la acción de regla lookup_and_add y Umbral de sesión configurado en 10

Informes de valores de lista

Usar una lista refinada:

En el caso de los informes de valor de lista (para cualquier tipo de origen de datos), se generan informes individuales para cada valor de la lista. Por lo tanto, mientras mayor sea el número de valores en la lista, más demorará la ejecución de los informes. Por lo tanto, debe utilizar una lista refinada para generar dichos informes. 

You are here
Table of Contents > Informes: Guías para informes

Attachments

    Outcomes