Bereitstellung: Konfiguration der Gruppenaggregation

Document created by RSA Information Design and Development on May 10, 2018Last modified by RSA Information Design and Development on Oct 18, 2018
Version 2Show Document
  • View in full screen mode
 

Mit der Gruppenaggregation können Sie mehrere Archiver- oder Concentrator-Services als Gruppe konfigurieren und die Aggregationsaufgaben zwischen ihnen aufteilen. Sie können mehrere Archiver-Services oder Concentrator-Services konfigurieren, um eine effiziente Aggregation aus mehreren Log Decoder-Services zu erreichen und so die Abfrageperformance der folgenden Daten zu verbessern:

  • Im Archiver gespeicherte Daten
  • Über den Concentrator verarbeitete Daten

Empfehlungen zur Bereitstellung der RSA-Gruppenaggregation

RSA empfiehlt die folgende Bereitstellung für die Gruppenaggregation.

  • 1 bis 2 Log Decoder
  • 3 bis 5 Archiver oder Concentrators

Vorteile bei Verwendung der Gruppenaggregation

Gruppenaggregation:

  • Erhöht die Geschwindigkeit der RSA NetWitness® Suite-Abfragen.
  • Verbessert die Performance von aggregierten Abfragen (Count und Sum) in der Umgebung
  • Verbessert die Performance des Investigation-Service
  • Daten können für Ermittlungszwecke für einen längeren Zeitraum gespeichert werden.

In der folgenden Abbildung wird die Gruppenaggregation dargestellt.

Group Aggregation Illustration

Sie können beliebig viele Archivers oder Concentrators gruppieren und daraus eine Aggregationsgruppe bilden. Die aggregierten Sitzungen werden auf die Archiver- oder Concentrator-Services in der Gruppe aufgeteilt, wobei die Anzahl der Sitzungen im Parameter „Max. Sitzungen für Aggregation“ festgelegt ist.

Wenn eine Aggregationsgruppe z. B. aus 2 Archiver-Services oder 2 Concentrator-Services besteht und der Parameter „Max. Sitzungen für Aggregation“ auf 10.000 festgelegt wird, werden die Sitzungen wie in der folgenden Tabelle dargestellt auf die Services aufgeteilt.

                     
Archiver 0 oder Concentrator 0 Archiver 1 oder Concentrator 1
1–9.99910.000–19.999
20.000–29.99930.000–39.999
40.000–49.99950.000–59.999

Konfiguration der Gruppenaggregation

Schließen Sie dieses Verfahren ab, um mehrere Archiver- oder Concentrator-Services als Gruppe zu konfigurieren und die Aggregationsaufgaben zwischen ihnen aufzuteilen.

Voraussetzungen

Planen Sie das Netzwerkdesign für die Gruppenaggregation. In der folgenden Abbildung ist ein Beispiel für eine Konfiguration einer Gruppenaggregation gezeigt.

Group Aggregation Setup example

Stellen Sie sicher, dass Sie die Parameter der Gruppenaggregation in der folgenden Tabelle verstehen, und erstellen Sie einen Gruppenaggregationsplan.

                         
ParameterBeschreibung
GruppennameBestimmt die Gruppe, zu der der Archiver oder Concentrator gehört.
Sie können eine beliebige Anzahl von Gruppen hinzuzufügen, die Daten von einem Log Decoder aggregieren. Der Parameter „Gruppenname“ wird vom Log Decoder verwendet, um zu ermitteln, welche Archiver- oder Concentrator-Services zusammenarbeiten. Alle Archiver- oder Concentrator-Services in der Gruppe sollten denselben Gruppennamen haben.
GrößeBestimmt die Anzahl der Archiver- oder Concentrator-Services in der Aggregationsgruppe.
MitgliedsnummerBestimmt die Position des Archiver oder Concentrator in der Aggregationsgruppe. Für eine Gruppe der Größe N muss die Mitgliedsnummer von 0 bis N-1 auf jedem Archiver- oder Concentrator-Service in der Aggregationsgruppe definiert sein.
Beispiel: Wenn die Größe der Aggregationsgruppe 2 beträgt, sollte die Mitgliedsnummer eines der Archiver- oder Concentrator-Services auf 0 und die Mitgliedsnummer des anderen Archiver oder Concentrator auf 1 festgelegt werden.
Mitgliedschaftsmodus

Es gibt zwei Mitgliedschaftsmodi: Neu und Ersetzen.
Neu: Hinzufügen eines neuen Archiver- oder Concentrator-Services als Mitglied zu einer bestehenden Aggregationsgruppe oder Erstellen einer neuen Aggregationsgruppe. Der Archiver- oder Concentrator-Service aggregiert keine bestehenden Sitzungen vom Service, da andere Mitglieder der Gruppe wahrscheinlich bereits alle Sitzungen auf dem Service aggregiert haben. Dieser Archiver- oder Concentrator-Service aggregiert nur neue Sitzungen, die auf dem Service angezeigt werden.
Ersetzen: Ersetzen eines bestehenden Mitglieds einer Aggregationsgruppe. Der Archiver oder Concentrator beginnt die Aggregation bei der ältesten verfügbaren Sitzung auf dem Service, von dem er aggregiert.

Hinweis: Dieser Parameter hat nur Auswirkungen, wenn von dem Service noch keine Sitzungen aggregiert wurden. Nachdem eine Sitzung aggregiert wurde, hat dieser Parameter keine Auswirkungen mehr.

 

Einrichten der Gruppenaggregation

Schließen Sie das folgende Verfahren ab, um die Gruppenaggregation einzurichten.

  1. Konfigurieren Sie mehrere Archiver- oder Concentrator-Services in Ihrer Umgebung. Vergewissern Sie sich, dass Sie den gleichen Log Decoder als Datenquelle zu allen Services hinzufügen.
  2. Führen Sie die folgenden Schritte für alle Archiver- oder Concentrator-Services aus, die zur Aggregationsgruppe gehören sollen:

    1. Wählen Sie im Hauptmenü die Optionen ADMIN > Services aus.
    2. Wählen Sie den Archiver- oder Concentrator-Service aus und wählen Sie dann in der Spalte Aktionen die Optionen Ansicht > Konfiguration aus.
      Die Ansicht „Gerätekonfiguration“ des Archiver- oder Concentrator-Services wird angezeigt.
    3. Wählen Sie im Abschnitt Services aggregieren das Log Decoder-Gerät aus.
    4. Klicken Sie auf , um den Status des Log Decoder in „offline“ zu ändern, sofern er „online“ lautet.
    5. Klicken Sie auf .

      Das Dialogfeld Aggregierten Service bearbeiten wird angezeigt.

      Edit Aggregate Service

    6. Klicken Sie auf group_aggregation_button.png.

      Das Dialogfeld Gruppenaggregation bearbeiten wird angezeigt.

      Edit Group Aggregation

    7. Aktivieren Sie das Kontrollkästchen Aktiviert und legen Sie die folgenden Parameter fest:

      Geben Sie im Feld Gruppenname den Namen der Gruppe ein.
      Wählen Sie im Feld Größe die Anzahl der Archiver- oder Concentrator-Services in der Aggregationsgruppe aus.
      Wählen Sie im Feld Mitgliedsnummer die Position des Archiver oder Concentrator in der Aggregationsgruppe aus.
      Wählen Sie den Modus im Drop-down-Menü Mitgliedschaftsmodus aus.

    8. Klicken Sie auf Speichern.
    9. Klicken Sie auf der Seite Ansicht Gerätekonfiguration auf Anwenden.
    10. Führen Sie Schritt b bis Schritt i für alle anderen Archiver- oder Concentrator-Services aus, die Teil der Gruppenaggregation sein sollen.
  3. Legen Sie im Abschnitt Aggregationskonfiguration den Parameter für Max. Sitzungen für Aggregation auf 10.000 fest.

    Enter the Aggregate Max Sessions

You are here
Table of Contents > Konfiguration der Gruppenaggregation

Attachments

    Outcomes