このトピックでは、インデックス構成ノードについて説明します。次のインデックス構成ノードは、Security Analytics Coreデータベースの高度なデータベース構成アイテムの一部で、頻繁に変更されることはありません。
index.dir
index.dir設定は、インデックスによって使用されるファイルが格納されている場所を制御します。この設定は、packet.dir、meta.dir、session.dir設定と同じ構文をサポートします。
index.dir.warm
インデックス スライスのWarm階層ストレージ この設定は、packet.dir.warm、meta.dir.warm、session.dir.warmと同じ構文をサポートします。
index.dir.cold
インデックス スライスのCold階層ストレージ この設定は、packet.dir.cold、meta.dir.cold、session.dir.coldと同じ構文をサポートします。
index.slices.open
この設定は、インデックスで同時に開いておけるインデックス スライスの数を制御します。インデックス スライスは、必要に応じてクエリーによって自動的に開かれます。クエリーが完了したときに、インデックス エンジンは後続のクエリーの実行を高速化するためスライスを開いたままにする場合があります。ここで、開いたままにされるのは最近作成されたスライスです。これは、これらのスライスがクエリーによって使用される可能性が高いためです。
インデックスに対するクエリーにおいて、インデックスがスライスを開くことが要求される場合に、スライスがすでに開かれていると、クエリーの実行は低速化します。そのため、インデックスに対して実行される大半のクエリーを開いているスライスに対応させるよう、このパラメーターを調整する必要があります。ただし、開いているインデックス スライスは、ファイル ハンドルやメモリなどのリソースを消費します。開いているインデックス スライスの数が多すぎると、サービスの全般的なパフォーマンスが低下する可能性があります。
大半のクエリーで必要とされる時間範囲の大部分が、開いているインデックス スライスでカバーされるよう、このパラメーターを設定する必要があります。 たとえば、大半のクエリーが過去2週間の範囲に含まれており、インデックス スライスが8時間おきに作成されている場合、1日あたり3スライスが14日分作成された(つまり、過去2週間で42個のスライスが作成された)ことになります。この場合は、index.slices.openを42に設定することで、使用される可能性が高いスライスだけを開いたままにすることができます。
このパラメータが0に設定されている場合は、次回インデックスが保存されるときまですべてのスライスが開いたままになります。このシナリオでは、プロセスで開いておくことのできるスライスの数は、インデックスに含まれるスライスの数によってのみ制限されます。
page.compression
使用されていません。Security Analytics Coreインデックスのバージョン9.8~10.2は、2つの異なるインデックス圧縮アルゴリズムをサポートしており、この設定を使用していずれかを選択できます。バージョン10.3では、唯一の推奨値はデフォルトのhuffhybridです。
save.session.count
この設定は、新しいセッションが挿入されたときにインデックスが自動的に保存される頻度を制御します。save.session.countの値が0より大きい場合に、save.session.countを上回る数のセッションがインデックスに追加されると、インデックスは自動的に保存されます。save.session.countが0に設定されている場合、この機能は無効化され、新しいセッションがインデックスに追加されたときにインデックスは自動的に保存されません。
save.session.countを使用すると、インデックスに追加されるデータの量に基づく自動保存パターンを実装できます。これにより、軽負荷システムによるセーブ ポイントの生成頻度を抑えることができます。
インデックスのセーブの詳細については、このガイドの以下に関するセクションを参照してください:最適化の手法.
