Ci sono diversi livelli di ottimizzazione in modo da meno efficace per la maggior parte efficace. Alcune di queste tecniche sono facilmente implementate. Ma, altri sono più avanzati e potrebbero richiedere assistenza dai servizi professionali. I servizi professionali possono ottimizzare le fonti di dati SIEM.
Per disattivare le regole per gli eventi di conteggio degli eventi di valore basso e elevato:
Molte origini dati inviano diversi registri, alcuni dei quali sono più importanti di altri. I registri di importanza limitata, ma di volume elevato, riducono l'evento complessivo per seconda capacità del Receiver.
Se un particolare tipo di evento presenta un numero elevato di eventi al secondo e i registri non sono importanti per l'utente, le regole responsabili di tali eventi possono essere disattivate. Questa azione non impedisce al receiver di raccogliere e inviare tali eventi a ESM, impedendo così agli eventi di renderli alle dashboard ESM.
Le modifiche hanno un basso impatto sulle prestazioni, ma possono contribuire a ridurre la quantità di dati che l'ESM deve vagliare.
- Nella dashboard, selezionare il nome della regola o il tipo di evento che si desidera disattivare.
- Dal menu pancake, scegliere Mostra regola.
Il sistema apre l'editor delle policy per l'origine dati e trova la regola di origine dati o ASP responsabile di tali eventi.
- Con tale regola selezionata, fare clic sull'elenco a discesa per attivare/disattivare la sezione e scegliere Disattiva.
- Fare clic sull'elenco a discesa operazioni nella parte superiore e fare clic su policy di implementazione.
Per evitare l'utilizzo di Parse come syslog generico nelle proprietà dell'origine dati:
Ogni origine dati ASP contiene una sezione nelle proprietà per la gestione degli eventi che non soddisfano alcuna regola. Questa opzione può essere impostata in modo da
non eseguire alcuna operazione,
registrare come sconosciutoo
analizzare come syslog generico.
Queste opzioni possono essere utili per la risoluzione dei problemi, ma si consiglia di disattivare l'impostazione di syslog generica. Il motivo è che ha una notevole penalizzazione delle prestazioni. È intesa come soluzione a breve termine quando si imposta una nuova origine dati che non dispone dei file di regole necessari per tutti gli eventi. In sostanza, esegue l'evento oltre l'origine dati originale e le regole ASP una seconda volta, ma aggiunge migliaia di regole aggiuntive di syslog generiche. Poiché aggiunge molte regole extra a ogni evento elaborato, c'è un grande impatto sulle prestazioni. Avere solo alcune di queste impostazioni di regole generiche attivate può rallentare l'intero Receiver.
- Selezionare l'origine dati e le Proprietàaperte.
- Scorrere verso il basso fino alla sezione sconosciuta .
- Scegliere non fare nulla o registra come sconosciuto.
- Fare clic su OK e, se richiesto, scrivere le impostazioni dell'origine dati e Policy roll.
Per ordinare le regole ASP per assicurarsi che le regole di conteggio eventi più alte vengano eseguite per prime ( per ulteriori informazioni, consultare le
informazioni sull'ordine delle regole del parser di KB90611-Filter e Advanced syslog ):
Ogni evento che entra in un'origine dati deve essere controllato da ogni regola per l'origine dati fino a quando non viene rilevata una corrispondenza. Più regole devono essere verificate prima di una corrispondenza, maggiore è la lentezza delle prestazioni di parsing. Modificando l'ordine in cui vengono utilizzate le regole per controllare ogni evento, è possibile ridurre l'impatto sulle prestazioni nell'analisi. L'idea è quella di fare in modo che gli eventi più comuni abbiano maggiori probabilità di attivare prima le proprie regole di corrispondenza.
Ad esempio, sono disponibili 1.000 regole per un'origine dati e l'evento più comune è il
tipo 51. Inserire le verifiche dell'ordine delle regole per il tipo 51 prima piuttosto che dietro le 999 altre regole.
- Nella console ESM, fare clic su editor di policy. Nel riquadro tipi di regole , fare clic su Receiver, Advanced syslog parser.
- Nel menu operazioni , fare clic su Ordina regole ASP. Dall'elenco a discesa tipo di origine dati , selezionare un'origine dati.
- Nel riquadro a sinistra, selezionare le regole da aggiungere e impostarle nell'ordine appropriato nel riquadro a destra.
- Selezionare la scheda regole standard o regole personalizzate .
Nota: Nelle regole di filtro ordini, per impostazione predefinita non sono elencate le regole.
- Utilizzare le frecce per spostare una regola dal riquadro a sinistra al riquadro a destra sopra le regole non ordinate.
- Utilizzare le frecce su e giù per inserire le regole nell'ordine corretto.
- Fare clic su OK e salvare le modifiche.
- Premere il policy sui dispositivi appropriati.
Per utilizzare le regole di filtro per rispostare completamente un tipo di evento dalla pipeline di analisi e eventi (vedere KB74834-come creare regole di filtraggio personalizzate per filtrare gli eventi innocui o KB87331-come migliorare le prestazioni ASP filtrando i registri che non soddisfano alcuna regola per i dettagli):
Le regole di filtraggio sono simili alla disattivazione delle regole di parsing, ad eccezione del fatto che si blocca la raccolta dell'evento originale tutti insieme. Gli eventi raccolti dal Receiver seguono queste regole di filtraggio, e se viene fornito un evento che corrisponde a un filtro, viene rimosso dal lato della raccolta. Questa rimozione significa che gli eventi non vengono mai inviati alla pipeline di parsing o a ESM e offre il miglior guadagno in fatto di prestazioni. Se un evento specifico di un valore basso viene attivato a conteggi superiori rispetto a eventi più importanti e non è necessario tenere traccia di tali eventi nel dashboard ESM, è opportuno utilizzare una regola di filtro. È importante notare che, mentre una regola di filtraggio rimuove gli eventi dal Receiver e dall'elaborazione ESM, i registri vengono inviati all'Olmo per la conformità. Pertanto, anche se un evento viene filtrato dal Receiver e da ESM, è ancora possibile trovarlo con una ricerca ELM.
Le regole di filtraggio sono un argomento avanzato e richiedono che l'utente conosca la scrittura di espressioni regolari PCRE.