Reporting: Reporting-Richtlinien

Document created by RSA Information Design and Development on May 11, 2018
Version 1Show Document
  • View in full screen mode

In diesem Abschnitt werden die von RSA empfohlenen Richtlinien zur Verbesserung der Ausführungszeit Ihrer Reportingentitäten erläutert, wie z. B. Regeln, Berichte, Warnmeldungen, Diagramme und Listen. Die Richtlinien gelten für Folgendes:

  • NWDB-Regeln
  • Timeout-Konfiguration für NWDB-Regeln
  • Lookup_and_Add-Regelaktion
  • Listenwertberichte

NWDB-Regeln

Wenn die Reportingentitäten wie Berichte, Warnmeldungen oder Diagramme NWDB-Regeln enthalten (meist wenn die Abfrage „Gruppieren nach“ enthält) und die Ausführung viel Zeit in Anspruch nimmt, können Sie wie folgt vorgehen: 

  1. Anpassen der WHERE-Klausel:
    Sie können die Anzahl der gescannten Sitzungen einschränken, indem Sie die WHERE-Klausel verwenden oder anpassen (insbesondere bei Verwenden der Option „Gruppieren nach“). Betrachten Sie zum Beispiel die folgende Regel.
    Anpassen der WHERE-Klausel


    Wenn Sie eine WHERE-Klausel wie im obigen Beispiel verwenden, ist die Anzahl der aggregierten Sitzungen sehr groß. Um dies zu vermeiden, können Sie nur die erforderlichen Sitzungen filtern, indem Sie die Liste der IP-Adressen angeben oder eine Liste (Liste der IP-Adressen) erstellen, die die relevanten IP-Adressen enthält.
    Anpassen der WHERE-Klausel  
  2. Verwenden indexierter META-Schlüssel in der WHERE-Klausel:
    Bewegen Sie die Maus über den META-Schlüssel, um festzustellen, ob META indiziert ist oder nicht. Wenn der Werttyp INDEX_VALUE lautet, ist META indiziert. Wenn der Werttyp INDEX_KEY oder INDEX_NONE lautet, ist Meta nicht indexiert. 

    Im Folgenden ist ein Snapshot eines indexierten META-Schlüssels dargestellt.
    META-Schlüssel, der indexiert ist
     
  3. Konfigurieren der Timeout-Option:
    Wenn die Ausführung der Abfrage lange dauert und aufgrund eines Timeouts fehlschlägt, können Sie das Timeout für die NWDB-Regelausführungen konfigurieren. Weitere Informationen finden Sie im folgenden Abschnitt „Timeout-Konfiguration für NWDB-Regeln“.  
  4. Planen der Ausführung der Abfragen zu unterschiedlichen Zeiten:
    Wenn mehrere Abfrageaggregate gleichzeitig ausgeführt werden und ein Timeout auftritt, können Sie die Abfragen so planen, dass sie ohne Überschneidungen zu unterschiedlichen Zeiten ausgeführt werden. 

Timeout-Konfiguration für NWDB-Regeln

Hinweis: Es wird empfohlen, die Statistiken der Reporting Engine und die NWDB-Datenquellen zu prüfen, bevor Sie Änderungen an der Konfiguration vornehmen. Weitere Informationen finden Sie im Thema „Überwachen von Servicedetails“ für die Reporting Engine und im Thema „Überwachen der Systemstatistiken“ im Leitfaden Systemwartung.   

Wenn eine NWDB-Regelausführung aufgrund eines Timeouts fehlschlägt, werden möglicherweise folgende Fehlermeldungen auf der Seite „Bericht anzeigen“ eingeblendet: 

  • Reporting Engine-Timeout-Fehler
    • „Datenquelle ,10.31.x.x Concentrator‘ hat nicht innerhalb der konfigurierten 30 Minuten auf die Anforderung ,/sdk/values‘ reagiert.“ 
  • NWDB-Timeout-Fehler
    • „Beim Abrufen der Daten aus Quelle ,10.31.x.x Concentrator‘ ist ein Fehler aufgetreten. {Timeout message from NWDB}“.
  • Gehen Sie in diesem Fall wie folgt vor:

    • Reporting Engine-Timeout
      Bei einem Reporting Engine-Timeout können Sie das Timeout auf eine längere Dauer einstellen, sodass die lang laufenden Abfragen ausgeführt werden können. Weitere Informationen zum Einrichten der NWDB Queries Time Out- und NWDB Info Queries Time Out-Option für die Reporting Engine finden Sie im Thema „Schritt 2. „Konfigurieren der Reporting-Engine-Einstellungen“ im Konfigurationsleitfaden Reporting Engine. RSA empfiehlt, die Option NWDB Query Time Out auf 0 Minuten einzustellen (dies bedeutet kein Timeout) und die Option NWDB Info Queries Time Out auf 60 Minuten. 
    • NWDB-Timeout 
      Bei einem NWDB-Timeout müssen Sie möglicherweise die Parameter query.level.timeout und max.concurrent.queries für die NWDB-Datenquelle anhand der Empfehlungen im Tuningleitfaden für die Core-Datenbank konfigurieren, um die Abfragen im Detail anzupassen.
      Im Folgenden ist ein Snapshot der Explorer-Ansicht dargestellt, in der Sie die Parameter für die NWDB-Datenquelle festlegen können.
      Explorer-Ansicht, in der Sie die Parameter für die NWDB-Datenquelle festlegen können
    • Planen von Berichten zu unterschiedlichen Zeiten
      Wenn die NWDB-Core-Geräte viel und intensiv genutzt werden, können Sie die Berichte so planen, dass sie ohne Überschneidung zu unterschiedlichen Zeiten ausgeführt werden. 
    • Teilen des Berichts
      Wenn viele Regeln in einem Bericht enthalten sind, können Sie ihn in mehrere Berichte aufteilen, wobei jeder Bericht logische Regelsätze enthält. Wenn mehrere Regeln vorhanden sind, werden alle Regeln basierend auf den verfügbaren Threads zur gleichen Zeit ausgeführt. Daher können Sie die Regeln in separate Berichte logisch gruppieren. 

LookupAndAdd-Regelaktion

Wenn eine Regel, die aus einer oder mehreren lookup_and_add-Regelaktionen besteht, für die Ausführung des Berichts eine lange Zeit benötigt, liegt dies daran, dass jede Regelaktion mehrere Suchabfragen in der NWDB-Datenquelle auslöst, sodass sich längere Ausführungszeiten ergeben.

Um die Ausführungszeit von Berichten zu verbessern, können Sie folgende Aktionen ausführen:  

  • Anpassen der WHERE-Klausel in den folgenden Regelaktionen:
    • Regel, die die lookup_and_add-Regelaktion enthält
    • lookup_and_add-Regelaktion:
  • Festlegen von Grenzwerten
    Sie müssen die entsprechenden Grenzwerte für die Regel und Regelaktionen festlegen. Ein hoher Grenzwert führt dazu, dass viele Abfragen ausgelöst werden und daher die Ausführung des Berichts lange dauert. 
  • Festlegen des booleschen Aggregatparameters

    Wenn für die Suchwerte keine Aggregatwerte wie sum(meta), count(meta) usw. verwendet werden sollen, legen Sie den booleschen Aggregatparameter in der lookup_and_add-Regelaktion auf „false“ fest. Weitere Informationen hierzu finden Sie unter NWDB-Regelsyntax.

    lookup_and_add(string select, string field, int limit, boolean inherit, string extraWhere, boolean aggregate)

    Beachten Sie die Regel mit der lookup_and_add-Regelaktion:

     Regel mit der lookup_and_add-Regelaktion

    Die Ausgabe wird angezeigt:

     Regel, für welche das Ergebnis der lookup_and_add-Regelaktion angezeigt wird

  • Jede lookup_and_add-Regelaktion löst standardmäßig zwei gleichzeitige Suchabfragen in der Datenquelle aus. RSA empfiehlt, dass Sie die Standardeinstellung beibehalten. Wenn Sie jedoch den Wert erhöhen möchten, vergewissern Sie sich, dass der Wert des Parameters Max # of Concurrent LookupAndAdd Queries in der Reporting Engine niedriger ist als der Wert Max Concurrent Queries in der NWDB-Datenquellenkonfiguration.
    Wenn die NWDB-Datenquelle von anderen Services gemeinsam verwendet wird, sollten Sie für den Parameter Max # of Concurrent LookupAndAdd Queries in der Reporting Engine einen niedrigen Wert beibehalten, da eine Erhöhung des Werts die Abfragen von anderen Services beeinflusst. Weitere Informationen finden Sie im Thema „Registerkarte Allgemein für Reporting Engine“ im Reporting Engine-Konfigurationsleitfaden
  • Wenn Sie nur an eindeutigen Werten und nicht an genauen Aggregatwerten interessiert sind, stellen Sie den Session Threshold für die NWDB-Regel auf einen Wert ungleich null ein. Weitere Informationen hierzu erhalten Sie unter Definieren einer Regel mithilfe einer NetWitness-Datenquelle. Je höher der Wert, desto länger dauert die Regelausführung. Wenn der Wert auf null eingestellt ist, dauert die Ausführung länger, ergibt jedoch genaue Aggregatwerte.
    Erwägen Sie eine Regel mit der lookup_and_add-Regelaktion und einem Sitzungsschwellenwert von 10.
    Regel mit der lookup_and_add-Regelaktion und einem Sitzungsschwellenwert von 10

    Die Ausgabe wird angezeigt:
    Regel mit der lookup_and_add-Regelaktion und einem Sitzungsschwellenwert von 10 Ergebnis wird angezeigt

Listenwertberichte

Verwenden einer angepassten Liste:

Bei Listenwertberichten (für alle Datenquellentypen) werden individuelle Berichte für jeden Wert in der Liste erzeugt. Daher gilt: Je höher die Werte in der Liste, desto länger dauert die Ausführung der Berichte. Folglich müssen Sie eine angepasste Liste zum Erzeugen solcher Berichte verwenden. 

You are here
Table of Contents > Reporting: Reporting-Richtlinien

Attachments

    Outcomes