Broker: Schritt 4. (Optional) Konfigurieren der Gruppenaggregation

Document created by RSA Information Design and Development on May 8, 2018
Version 1Show Document
  • View in full screen mode
 

Mit der Gruppenaggregation können Sie mehrere Archiver- oder Concentrator-Services als Gruppe konfigurieren und die Aggregationsaufgaben zwischen ihnen aufteilen. Sie können mehrere Archiver-Services oder Concentrator-Services konfigurieren, um eine effiziente Aggregation aus mehreren Log Decoder-Services zu erreichen und so die Abfrageperformance der folgenden Daten zu verbessern:

  • Im Archiver gespeicherte Daten
  • Über den Concentrator verarbeitete Daten

Empfehlungen zur Bereitstellung der RSA-Gruppenaggregation

RSA empfiehlt die folgende Bereitstellung für die Gruppenaggregation.

  • 1 bis 2 Log Decoder
  • 3 bis 5 Archiver oder Concentrators

Vorteile bei Verwendung der Gruppenaggregation

Gruppenaggregation:

  • Erhöht die Geschwindigkeit von Security Analytics-Abfragen.
  • Verbessert die Performance von aggregierten Abfragen (Count und Sum) in der Umgebung
  • Verbessert die Performance des Investigation-Service
  • Daten können für Ermittlungszwecke für einen längeren Zeitraum gespeichert werden.

In der folgenden Abbildung wird die Gruppenaggregation dargestellt.

Abbildung der Gruppenaggregation

Sie können beliebig viele Archivers oder Concentrators gruppieren und daraus eine Aggregationsgruppe bilden. Die aggregierten Sitzungen werden auf die Archiver- oder Concentrator-Services in der Gruppe aufgeteilt, wobei die Anzahl der Sitzungen im Parameter „Max. Sitzungen für Aggregation“ festgelegt ist.

Wenn eine Aggregationsgruppe z. B. aus 2 Archiver-Services oder 2 Concentrator-Services besteht und der Parameter „Max. Sitzungen für Aggregation“ auf 10.000 festgelegt wird, werden die Sitzungen wie in der folgenden Tabelle dargestellt auf die Services aufgeteilt.

                     
Archiver 0 oder Concentrator 0 Archiver 1 oder Concentrator 1
1–9.99910.000–19.999
20.000–29.99930.000–39.999
40.000–49.99950.000–59.999

Konfiguration der Gruppenaggregation

Schließen Sie dieses Verfahren ab, um mehrere Archiver- oder Concentrator-Services als Gruppe zu konfigurieren und die Aggregationsaufgaben zwischen ihnen aufzuteilen.

Voraussetzungen

Planen Sie das Netzwerkdesign für die Gruppenaggregation. In der folgenden Abbildung ist ein Beispiel für eine Konfiguration einer Gruppenaggregation gezeigt.

Beispiel für das Einrichten der Gruppenaggregation

Stellen Sie sicher, dass Sie die Parameter der Gruppenaggregation in der folgenden Tabelle verstehen, und erstellen Sie einen Gruppenaggregationsplan.

                         
ParameterBeschreibung
GruppennameBestimmt die Gruppe, zu der der Archiver oder Concentrator gehört.
Sie können eine beliebige Anzahl von Gruppen hinzuzufügen, die Daten von einem Log Decoder aggregieren. Der Parameter „Gruppenname“ wird vom Log Decoder verwendet, um zu ermitteln, welche Archiver- oder Concentrator-Services zusammenarbeiten. Alle Archiver- oder Concentrator-Services in der Gruppe sollten denselben Gruppennamen haben.
GrößeBestimmt die Anzahl der Archiver- oder Concentrator-Services in der Aggregationsgruppe.
MitgliedsnummerBestimmt die Position des Archiver oder Concentrator in der Aggregationsgruppe. Für eine Gruppe der Größe N muss die Mitgliedsnummer von 0 bis N-1 auf jedem Archiver- oder Concentrator-Service in der Aggregationsgruppe definiert sein.
Beispiel: Wenn die Größe der Aggregationsgruppe 2 beträgt, sollte die Mitgliedsnummer eines der Archiver- oder Concentrator-Services auf 0 und die Mitgliedsnummer des anderen Archiver oder Concentrator auf 1 festgelegt werden.
Mitgliedschaftsmodus

Es gibt zwei Mitgliedschaftsmodi: Neu und Ersetzen.
Neu: Hinzufügen eines neuen Archiver- oder Concentrator-Services als Mitglied zu einer bestehenden Aggregationsgruppe oder Erstellen einer neuen Aggregationsgruppe. Der Archiver- oder Concentrator-Service aggregiert keine bestehenden Sitzungen vom Service, da andere Mitglieder der Gruppe wahrscheinlich bereits alle Sitzungen auf dem Service aggregiert haben. Dieser Archiver- oder Concentrator-Service aggregiert nur neue Sitzungen, die auf dem Service angezeigt werden.
Ersetzen: Ersetzen eines bestehenden Mitglieds einer Aggregationsgruppe. Der Archiver oder Concentrator beginnt die Aggregation bei der ältesten verfügbaren Sitzung auf dem Service, von dem er aggregiert.

Hinweis: Dieser Parameter hat nur Auswirkungen, wenn von dem Service noch keine Sitzungen aggregiert wurden. Nachdem eine Sitzung aggregiert wurde, hat dieser Parameter keine Auswirkungen mehr.

 

Einrichten der Gruppenaggregation

Schließen Sie das folgende Verfahren ab, um die Gruppenaggregation einzurichten.

  1. Konfigurieren Sie mehrere Archiver- oder Concentrator-Services in Ihrer Umgebung. Vergewissern Sie sich, dass Sie den gleichen Log Decoder als Datenquelle zu allen Services hinzufügen.
  2. Führen Sie die folgenden Schritte für alle Archiver- oder Concentrator-Services aus, die zur Aggregationsgruppe gehören sollen:

    1. Wählen Sie im Hauptmenü die Optionen ADMIN > Services aus.
    2. Wählen Sie den Archiver- oder Concentrator-Service aus und wählen Sie dann in der Spalte Aktionen die Optionen Ansicht > Konfiguration aus.
      Die Ansicht „Gerätekonfiguration“ des Archiver- oder Concentrator-Services wird angezeigt.
    3. Wählen Sie im Abschnitt Services aggregieren das Log Decoder-Gerät aus.
    4. Klicken Sie auf , um den Status des Log Decoder in „offline“ zu ändern, sofern er „online“ lautet.
    5. Klicken Sie auf .

      Das Dialogfeld Aggregierten Service bearbeiten wird angezeigt.

      Aggregierten Service bearbeiten

    6. Klicken Sie auf group_aggregation_button.png.

      Das Dialogfeld Gruppenaggregation bearbeiten wird angezeigt.

      Gruppenaggregation bearbeiten

    7. Aktivieren Sie das Kontrollkästchen Aktiviert und legen Sie die folgenden Parameter fest:

      Geben Sie im Feld Gruppenname den Namen der Gruppe ein.
      Wählen Sie im Feld Größe die Anzahl der Archiver- oder Concentrator-Services in der Aggregationsgruppe aus.
      Wählen Sie im Feld Mitgliedsnummer die Position des Archiver oder Concentrator in der Aggregationsgruppe aus.
      Wählen Sie den Modus im Drop-down-Menü Mitgliedschaftsmodus aus.

    8. Klicken Sie auf Speichern.
    9. Klicken Sie auf der Seite Ansicht Gerätekonfiguration auf Anwenden.
    10. Führen Sie Schritt b bis Schritt i für alle anderen Archiver- oder Concentrator-Services aus, die Teil der Gruppenaggregation sein sollen.
  3. Legen Sie im Abschnitt Aggregationskonfiguration den Parameter für Max. Sitzungen für Aggregation auf 10.000 fest.

    Max. Sitzungen für Aggregation eingeben

You are here
Table of Contents > Grundlegende Setup-Verfahren > Schritt 4. (Optional) Konfigurieren der Gruppenaggregation

Attachments

    Outcomes