ESA-Konfiguration: Konfigurieren von ESA zur Verwendung von „Ordnen nach Erfassungszeit“

Document created by RSA Information Design and Development on May 10, 2018
Version 1Show Document
  • View in full screen mode
 

Dieses Verfahren gilt nur für ESA-Korrelationsregeln.

Administratoren können ESA für das Ordnen nach Erfassungszeit konfigurieren, wenn sie zwei oder mehr Concentrators als Quelle verwenden. 

Standardmäßig verwendet ESA den ESA-Zeitstempel (Zeitpunkt, zu dem Ereignisse von ESA empfangen werden), um Ereignisse zu korrelieren. ESA unterstützt aber auch das Ordnen von Sitzungen basierend auf der Erfassungszeit (Zeitpunkt, zu dem das Paket oder Protokollereignis die Decoders erreicht hat). Diese Funktion ist nützlich, wenn Sie Ereignisse von zwei oder mehr Concentrators korrelieren möchten.Bei zwei oder mehreren Concentrators als Quellen kann mit dem Ordnen nach Zeit sichergestellt werden, dass die zugehörigen Sitzungen entsprechend der Erfassungszeit zusammen korreliert werden. Dadurch wird sichergestellt, dass Sitzungen, die gleichzeitig erfasst werden, miteinander korreliert sind und Warnmeldungen mit Benutzererwartungen konsistent sind, selbst bei Übertragungsverzögerungen. Wenn Quellen offline gehen oder zu langsam sind, um Sitzungen zu senden, hält ESA an, um sicherzustellen, dass Sitzungen mit den gleichen Erfassungszeitstempeln miteinander korreliert werden.

Angenommen, Sie verfügen über zwei Quellen mit Ereignissen, die um 10:00 Uhr stattfinden. Mithilfe von „Ordnen nach Erfassungszeit“ werden diese Ereignisse so lange im Puffer behalten, bis ESA erkennt, dass alle um 10:00 Uhr stattfindenden Ereignisse dem Puffer hinzugefügt wurden. Sobald alle Ereignisse eingetroffen sind, werden sie dann anhand der EPL-Regeln verarbeitet. Dadurch wird sichergestellt, dass eine Regel alle Ereignisse mit dem gleichen Zeitstempel aus verschiedenen Quellen findet und korrekte Ergebnisse erzielt werden. Wenn beispielsweise ein Concentrator hinter einem anderen zurückliegt, wird ESA angehalten, bis es über alle Ereignisse mit dem Zeitstempel 10:00 Uhr aus beiden Quellen verfügt. Erst dann werden die EPL-Regeln auf die Ereignisse angewendet. 

Achtung: Diese Funktion erhöht zwar die Genauigkeit, beeinträchtigt aber die Performance. In der Standardkonfiguration von ESA ist vorgesehen, dass die Daten konstant gestreamt werden, da aber „Ordnen nach Erfassungszeit“ einen Puffer verwendet, dauert das Verarbeiten der Ereignisse länger. Dies gilt insbesondere, wenn ESA vorübergehend warten muss, bis sich der Puffer füllt. Es gibt verschiedene Parameter, die Sie für diese Situation konfigurieren können; trotzdem kann die Performance nach wie vor beeinträchtigt sein. 

Diese Funktion ist standardmäßig deaktiviert.

Workflow für „Ordnen nach Erfassungszeit“

Das folgende Diagramm zeigt den Workflow bei aktivierter Funktion „Ordnen nach Erfassungszeit“. 

Workflowdiagramm bei aktivierter Funktion „Ordnen nach Erfassungszeit“.

  1. Ereignisse werden bei Erfassung durch den Decoder mit einem Zeitstempel versehen.
  2. Nach der Concentrator-Verarbeitung werden die Ereignisse gepuffert und geordnet. Die Größe des Puffers wird wie folgt berechnet: Parameter „MaxEPSExpectedPerSource“(der maximale Umfang des Datenverkehrs (EPS), der erwartungsgemäß pro Quelle von ESA empfangen wird) multipliziert mit „TimeOrderHoldWindow“ (wie lange gewartet wird, bis Ereignisse aus allen Quellen eingetroffen sind).
  3. Die geordneten Ereignisse werden dann anhand von EPL-Regeln korreliert. 

Voraussetzungen

Mindestens zwei Concentrators müssen als Datenquelle in ESA konfiguriert sein.

Wenn der Parameter StreamEnabled auf „true“ festgelegt ist, ist es wichtig, dass bei allen Computern, auf denen Core-Services ausgeführt werden, die NTP-Synchronisierung gewährleistet ist. 

Methoden

In den folgenden Verfahren wird beschrieben, wie Sie das Ordnen nach Erfassungszeit aktivieren und konfigurieren.

Aktivieren von Pufferung und Ordnen nach Erfassungszeit

Hinweis: Nach einem Upgrade oder in einer Umgebung mit hoher Ereignislast müssen Sie Datenquellen erneut hinzufügen, damit die Vorteile sichtbar werden. Alternativ müssen Sie warten, bis die Sitzungen auf dem neuesten Stand sind, bevor Sie das Ordnen nach Erfassungszeit aktivieren.

  1. Navigieren Sie zu ADMIN > Services, wählen Sie den ESA-Service aus und wählen Sie dann Aktionssymbol > Ansicht > Durchsuchen
  2.  Navigieren Sie zu Workflow > Quelle > nextgenAggregationSource.
  3. Legen Sie das Attribut StreamEnabled auf true fest. Mithilfe von „StreamEnabled“ kann ESA Ereignisse puffern, die von Concentrators empfangen werden.
  4. Legen Sie das Attribut TimeOrdered auf true fest. Dies ermöglicht, dass die gepufferten Ereignisse anhand des Zeitstempels vom Concentrator geordnet werden.

Konfigurieren des Ordnens nach Erfassungszeit

Für das Ordnen nach Erfassungszeit benötigen Sie noch verschiedene andere Parameter, um eine gute Performance zu gewährleisten. In der folgenden Tabelle sind die Parameter und ihre Funktionen aufgelistet. Das Konfigurieren dieser Parameter erfordert Kenntnisse über das Volumen und die Rate Ihres Netzwerkverkehrs.

Hinweis: Wenn Sie das Volumen oder die Latenz Ihres Netzwerkverkehrs nicht kennen, wenden Sie sich vor der Konfiguration dieser Funktion an Ihren Professional Services-Ansprechpartner.

                   
MaxEPSExpectedPerSource

Geben Sie das maximale Datenverkehrsvolumen (EPS oder Ereignisse pro Sekunde) an, das pro Quelle beim ESA-Service eintreffen wird (wenn z. B. eine Quelle 20.000 EPS empfängt und eine andere 25.000 EPS empfängt, geben Sie den höheren Wert, also 25.000 EPS, an).

Wenn Sie diese Rate zu niedrig einstellen, wirkt sich dies kurzzeitig auf die Performance aus. Allerdings erhöht ESA den Wert für MaxEPSExpectedPerSource nach Bedarf automatisch, damit das Ordnen nach Erfassungszeit erfolgreich ist.

Der Standardwert ist 20K.

TimeOrderHoldWindow

Geben Sie in Sekunden (Ganzzahl) an, wie lange gewartet werden soll, bis Ereignisse aus allen Quellen eingetroffen sind. 

Konfigurieren Sie diesen Wert basierend auf der Latenz zwischen den Quellen.

Der Standardwert ist 2 Sekunden. Ein geringerer Wert kann das Risiko von übersprungenen Ereignissen erhöhen. Ein höherer Wert kann die Performance verschlechtern, da mehr Arbeitsspeicher verbraucht wird. 

IdleSourceAdvanceAfterSeconds

Geben Sie den Zeitraum (in Sekunden) an, nach dessen Ablauf ESA eine inaktive Quelle ignoriert, damit das Ordnen nach Erfassungszeit weiterhin funktioniert. Eine inaktive Quelle bedeutet, dass keine Ereignisse von dieser Quelle empfangen werden, obwohl die Quelle nicht offline ist. Der Standardwert ist 0, was bedeutet, dass der ESA-Service auf unbestimmte Zeit wartet, bis Ereignisse eintreffen.

OfflineSourceAdvanceAfterSeconds

Geben Sie den Zeitraum (in Sekunden) an, nach dessen Ablauf ESA eine Offlinequelle ignoriert, damit das Ordnen nach Erfassungszeit weiterhin funktioniert. Der Standardwert ist 0, was bedeutet, dass der ESA-Service auf unbestimmte Zeit wartet. Dieser Parameter wirkt sich nicht auf erneute Verbindungsversuche aus; diese werden in jedem Fall durchgeführt.

Troubleshooting und Tipps

Bei dieser Funktion kann es vorkommen, dass ein Rückstand bei Ereignissen auftritt. Um dieses Problem zu beheben, können Sie eine der folgenden Optionen durchführen.

Deaktivieren des Ordnens nach Erfassungszeit

  1. Navigieren Sie zu ADMIN > Services, wählen Sie den ESA-Service aus und wählen Sie dann Aktionssymbol > Ansicht > Durchsuchen
  2. Navigieren Sie zu Workflow > Quelle > nextgenAggregationSource.
  3. Legen Sie das Attribut „StreamEnabled“ auf „false“ fest. 
  4. Legen Sie das Attribut „TimeOrdered“ auf „false“ fest. 

Wenn Sie das Ordnen nach Erfassungszeit deaktivieren, verlieren Sie diese Daten im Rückstand und Ereignisse werden nicht mehr nach Erfassungszeit geordnet. 

Deaktivieren der Positionsnachverfolgung

Durch die Positionsnachverfolgung kann ESA nachvollziehen, wo das Verarbeiten der Ereignisse unterbrochen wurde, wenn ESA anhält oder heruntergefahren wird. Die Positionsnachverfolgung ist beim Ordnen nach Erfassungszeit standardmäßig aktiviert. Wenn Sie die Positionsnachverfolgung deaktivieren, kann ESA die Ereignisse im Rückstand überspringen. Beispiel: Wenn ESA um 7:00 Uhr ausfällt und Sie es um 11:00 Uhr mit deaktivierter Positionsnachverfolgung neu starten, beginnt ESA mit der Verarbeitung von Ereignissen ab 10:55 Uhr. Bei aktivierter Positionsnachverfolgung startet ESA das Verarbeiten von Ereignissen genau an dem Punkt, an dem die Verarbeitung unterbrochen wurde.

  1. Navigieren Sie zu ADMIN > Services, wählen Sie den ESA-Service aus und wählen Sie dann Aktionssymbol > Ansicht > Durchsuchen
  2.  Navigieren Sie zu Workflow > Quelle > nextgenAggregationSource.
  3. Legen Sie das Attribut PositionTrackingEnabled auf „false“ fest. 

Wenn Sie die Positionsnachverfolgung deaktivieren, gehen die Daten im Rückstand verloren, aber Ereignisse werden zukünftig nach Erfassungszeit geordnet. 

You are here
Table of Contents > Zusätzliche Verfahren für ESA-Korrelationsregeln > Konfigurieren von ESA zur Verwendung von „Ordnen nach Erfassungszeit“

Attachments

    Outcomes