部署容量由 JSA 实时收集、规范化和关联的每秒事件数 (EPS) 和每分钟流量 (FPM) 来衡量。事件和流量容量由上传到系统的许可证设置。
JSA 部署中的每个主机都必须有足够的事件和流量容量,以确保 JSA 能够处理传入的数据高峰。大多数传入数据高峰都是暂时的,但如果持续收到系统通知,表明系统已超过许可证容量,则可以将现有许可证替换为容量更大的 EPS 或 FPM 容量的许可证。
共享许可证池
每个许可证设置的 EPS 和 FPM 速率被组合到一个共享许可证池中。从共享许可证池中,您可以将处理能力分发到特定部署内的任何主机,或者由单个控制台管理的任何主机,无论原始许可证分配给哪一个主机。
通过调整共享许可证池的分配,可以确保事件和流量容量根据网络工作负载进行分配,并且每个 JSA 主机都有足够的 EPS 和 FPM 来有效管理高峰流量。
在具有独立事件收集器和事件处理器设备的部署中,事件收集器会从连接到的事件处理器继承 EPS 速率。要增加事件收集器的容量,请从共享许可证池中将更多的 EPS 分配给父事件处理器。
对许可证池的贡献
同时包含事件容量和流量容量的许可证可能不会同时为共享许可证池贡献 EPS 和 FPM。许可证池的贡献取决于许可证分配给的设备类型。例如,当您向 16xx 事件处理器应用许可证时,只会将 EPS 添加到许可证池中。当应用于 17xx 流处理器时,同一许可证仅对许可证池提供 FPM。将许可证应用于 18xx 事件/流处理器,会同时为池贡献 EPS 和 FPM。除事件或流处理器的软件许可证外,所有软件许可证均会为共享许可证池贡献 EPS 和 FPM,无论该许可证分配给了哪种类型的设备。
从 JSA 7.3.2 开始,当您需要增加部署的总体事件或流阈值时,您现在可以获取可堆叠的 EPS/Flow 增量,而不是替换现有控制台或其他托管主机许可证。上传和部署许可证后,可以通过许可证池管理重新分配事件/流容量。
超过许可处理容量限制
当分配给托管主机的 EPS 和 FPM 组合超过共享许可证池中的 EPS 和 FPM 时,许可证池将进行分配。分配许可证池时,许可证池管理窗口将显示 EPS 和 FPM 的负值,分配图变为红色。JSA 阻止“网络活动”和“日志活动”选项卡中的功能,包括从 JSA 主工具栏上的“消息”列表查看事件和流量的功能。
要启用受阻止的功能,请减少在部署中分配给托管主机的 EPS 和 FPM。如果现有许可证的事件和流容量不足以处理网络数据量,请上传包含足够 EPS 或 FPM 的新许可证,以解决共享许可证池中的不足。
许可证过期
许可证到期后, JSA 会继续以分配的速率处理事件和流。
如果已过期许可证的 EPS 和 FPM 容量分配给主机,许可证池中的共享资源可能会出现不足,并导致 JSA 阻止“网络活动和日志活动”选项卡中的功能。
容量大小调整
处理数据高峰的最佳方法是确保您的部署具有足够的每秒事件 (EPS) 和每分钟流量 (FPM),以平衡传入数据的高峰期。目标是分配 EPS 和 FPM,以便主机有足够的容量来高效处理数据高峰,但不会有大量空闲 EPS 和 FPM。
当从许可证池中分配的 EPS 或 FPM 非常接近设备的平均 EPS 或 FPM 时,系统可能会将数据积累到临时队列中,以便以后处理。在临时队列(也称为突发处理队列)中积累的数据越多,处理积压的 JSA 所需的时间就越长。例如,与平均 EPS 速率为 7,000 的系统相比,当主机的平均 EPS 速率为 9,500 时,分配了 10,000 EPS 的 JSA 主机清空突发处理队列所需的时间更长。
在设备处理数据之前,才会生成攻击,因此最大程度地减少 JSA 将数据添加到突发处理队列的频率至关重要。通过确保每个托管主机都有足够的容量来处理短时间突发数据,可以最大限度地减少 JSA 处理队列所需的时间,确保在发生事件时创建攻击。
当系统不断超过分配的处理能力时,您无法通过增加队列大小来解决问题。多余的数据被添加到突发处理队列的末尾,在该队列中必须等待处理。队列越大,设备处理排队事件所需的时间就越长。
内部事件
JSA 设备在处理数据时相互通信时,会生成少量的内部事件。
为了确保内部事件不计入分配的容量,系统会在生成后立即自动将所有内部事件返回到许可证池。
