JSA 最大 EPS 认证方法
JSA 设备经过认证,可支持特定的每秒最大事件 (EPS) 速率。最大 EPS 取决于处理的数据类型、系统配置和系统负载。
与本文档中描述的测试参数显著背离的部署可能无法支持经认证的速率。最大认证 EPS 速率是绝对的。如果系统上的负载比 JSA 最大 EPS 认证负载轻,则 EPS 最大部署速率不会增加。
以下信息介绍了用于确定 JSA 主机最大 EPS 速率的测试参数,以帮助您设定期望并规划未来的 JSA 部署,并考虑到适当的 EPS 目标。
-
事件流量
-
唯一日志源 - 50,000
-
唯一日志源类型 - 17
-
唯一源 IP 地址 250,000
-
唯一目标 IP 地址 - 250,000
-
唯一用户名 - 300,000
-
凝聚率 - 15%
-
平均原始事件大小 - 382 B
-
-
流量构成细节:每个设备类型总贡献量占总数据集的百分比。例如,Microsoft Windows Security 事件占测试所用数据集总数的 25%。
-
Microsoft Windows Security - 25%
-
Linux 操作系统 - 25%
-
Cisco IOS - 15%
-
Cisco ASA - 10%
-
Linux DHCP - 5%
-
Aruba 移动控制器 - 5%
-
Blue Coat SG 设备 - 3%
-
McAfee Web 网关 - 3%
-
Apache HTTP 服务器 - 1%
-
CheckPoint - 1%
-
Cisco IronPort - 1%
-
F5 Networks FirePass - 1%
-
FireEyeMPS - 1%
-
IBM 安全网络保护XGS - 1%
-
Palo Alto PA 系列 - 1%
-
Symantec 端点防御 - 1%
-
Websense V 系列 - 1%
-
-
系统配置
-
网络层次结构 - 1000 个对象
-
自定义属性 - 350
-
自定义规则和构建块 - 451
-
索引 - 20
-
-
由于数据处理而创建的构件
-
攻击 - 3000
-
资产 - 365,000
-
参考数据 - 11 个数据结构,总共 100,000 个元素
-
-
用户负载
-
最多 16 次并发搜索
-