JSA 어플라이언스에 대한 이벤트 및 플로우 알림

설명

너무 많은 인덱스가 활성화되거나 시스템에 과부하가 걸리면 시스템은 인덱스 부분에서 이벤트 또는 플로우를 삭제할 수 있습니다.

사용자 응답

다음 옵션 중 하나를 선택합니다.

• 삭제된 인덱스 간격이 SAR 센티넬 알림과 함께 발생하는 경우 시스템 로드 또는 디스크 공간 부족으로 인한 문제일 수 있습니다.

• 시스템 부하를 줄이기 위해 일부 인덱스를 일시적으로 비활성화하려면 Admin(관리 ) 탭에서 Index Management(인덱스 관리 ) 아이콘을 클릭합니다.

설명

TCP 기반 프로토콜이 시스템에 대해 설정된 연결을 끊었습니다.

TCP 기반 프로토콜로 설정할 수 있는 연결 수는 연결이 설정되고 이벤트가 전달되도록 제한되어 있습니다. 이벤트 콜렉션 서비스(ECS)는 최대 15,000개의 파일 핸들을 허용하며 각 TCP 연결은 3개의 파일 핸들을 사용합니다.

연결 끊김 알림을 제공하는 TCP 프로토콜에는 다음 프로토콜이 포함됩니다.

• TCP syslog 프로토콜

• TLS syslog 프로토콜

• TCP 다중 회선 프로토콜

사용자 응답

다음 옵션을 검토하십시오.

• 더 많은 어플라이언스에 이벤트를 배포합니다. 다른 이벤트 및 플로우 프로세서에 연결하면 콘솔에서 작업 로드가 분산됩니다.

• UDP 네트워크 프로토콜을 사용하도록 낮은 우선 순위 TCP 로그 소스 이벤트를 구성합니다.

• 시스템을 조정하여 이벤트 파이프라인으로 들어오는 이벤트 및 플로우의 볼륨을 줄입니다.

설명

이벤트 파이프라인에 문제가 있거나 라이선스 제한을 초과하는 경우 이벤트 또는 흐름이 삭제될 수 있습니다.

삭제된 이벤트 및 플로우는 복구할 수 없습니다.

사용자 응답

다음 옵션을 검토하십시오.

• 시스템에서 수신 이벤트 및 플로우 속도를 확인합니다. 라이선스가 초과되고 이벤트 파이프라인이 이벤트를 삭제하는 경우 라이선스를 확장하여 더 많은 데이터를 처리합니다.

• 규칙 또는 사용자 지정 속성에 대한 최근 변경 사항을 검토합니다. 규칙 또는 사용자 지정 속성 변경으로 인해 이벤트 또는 플로우 속도가 변경될 수 있으며 시스템 성능에 영향을 줄 수 있습니다.

• 문제가 SAR 알림과 관련이 있는지 확인합니다. SAR 알림은 대기 중인 이벤트 및 흐름이 이벤트 파이프라인에 있음을 나타낼 수 있습니다. 시스템은 일반적으로 이벤트를 삭제하는 대신 이벤트를 스토리지로 라우팅합니다.

• 시스템을 조정하여 이벤트 파이프라인으로 들어오는 이벤트 및 플로우의 볼륨을 줄입니다.

설명

대기열이 꽉 차는 것을 방지하고 시스템이 이벤트를 삭제하지 않도록 하기 위해 이벤트 수집 시스템(ECS)은 데이터를 스토리지로 라우팅합니다. 유입 이벤트와 플로우는 범주화되지 않습니다. 그러나 원시 이벤트 및 플로우 데이터는 수집되고 검색할 수 있습니다.

사용자 응답

다음 옵션을 검토하십시오.

• 수신 이벤트 및 플로우 속도를 확인합니다. 이벤트 파이프라인이 이벤트를 큐잉하는 경우 더 많은 데이터를 보유하도록 라이선스를 확장합니다. EPS/FPM 라이센스 제한에 얼마나 근접했는지 확인하려면 시스템 모니터링 대시보드에서 이벤트 속도(초당 이벤트 수) 그래프를 모니터링하십시오. 그래프는 현재 데이터 속도를 보여줍니다. 데이터 전송 속도를 배포의 장치별 라이센스 구성과 비교합니다.

• 규칙 또는 사용자 지정 속성에 대한 최근 변경 내용을 검토합니다. 규칙 또는 사용자 지정 속성 변경으로 인해 이벤트 또는 플로우 속도가 갑자기 변경될 수 있습니다. 변경 사항이 성능에 영향을 미치거나 시스템이 이벤트를 스토리지로 라우팅할 수 있습니다.

• DSM 구문 분석 문제로 인해 이벤트 데이터가 저장소로 라우팅될 수 있습니다. 로그 소스가 공식적으로 지원되는지 확인하려면 DSM 구성 안내서를 참조하십시오.

• SAR 알림은 대기 중인 이벤트 및 흐름이 이벤트 파이프라인에 있음을 나타낼 수 있습니다.

• 시스템을 조정하여 이벤트 파이프라인으로 들어오는 이벤트 및 플로우의 볼륨을 줄입니다. 이벤트는 제품이 아닌 원본에서 조정해야 합니다. 병합을 설정하고 저장된 이벤트 수를 제한하도록 보존 버킷을 구성할 수 있습니다. 라이선스 조절은 시스템에 들어오는 이벤트 수를 모니터링하여 입력 대기열 및 라이선스를 관리합니다. 보존 버킷에 대한 자세한 내용은 주니퍼 보안 분석 관리 가이드를 참조하십시오.

설명

정상적인 처리 중에 최적화된 것으로 표시된 사용자 지정 이벤트 및 사용자 지정 흐름 속성은 처리 중에 파이프라인에서 추출됩니다. 이 값은 사용자 정의 규칙 엔진(CRE) 및 검색 인덱스에서 사용됩니다.

잘못된 형식의 정규식인 Regex 문으로 인해 이벤트가 저장소로 직접 잘못 라우팅될 수 있습니다.

사용자 응답

다음 옵션 중 하나를 선택합니다.

• 최근에 설치된 사용자 정의 특성을 사용 불가능하게 하십시오.

• 알림의 페이로드를 검토합니다. 가능한 경우 사용자 지정 속성과 연결된 regex 문을 개선합니다.

  예를 들어 다음 페이로드는 regex 패턴을 보고합니다.

• 사용자 정의 특성 정의를 수정하여 특성이 일치시키려는 범주의 범위를 좁힙니다.

• 사용자 정의 특성 정의에 단일 이벤트 이름을 지정하여 불필요한 이벤트 구문 분석 시도를 방지하십시오.

• 가장 많은 이벤트를 보낸 로그 소스에서 가장 적은 이벤트 순으로 로그 소스 구문 분석기를 정렬하고 사용하지 않는 구문 분석기를 비활성화합니다.

설명

JSA 플로우 프로세서 프로세스에는 시간 동기화를 위해 서버 IP 주소를 구성하기 위한 고급 기능이 포함되어 있습니다. 대부분의 경우 값을 구성하지 마십시오. 구성된 경우, 플로우 프로세스는 매시간 IP 주소 시간 서버와 시간을 동기화하려고 시도합니다.

사용자 응답

배포 작업에서 흐름 프로세스를 선택합니다. Actions(작업) >Configure(구성 )를 클릭하고 Advanced(고급)를 클릭합니다. Time Synchronization Server IP Address(시간 동기화 서버 IP 주소 ) 필드에서 값을 지우고 Save(저장)를 클릭합니다.

설명

각 어플라이언스에는 라이센스 풀에서 특정 볼륨의 이벤트 및 플로우 데이터가 할당됩니다. 지난 한 시간 동안 어플라이언스가 할당된 EPS 또는 FPM을 초과했습니다.

어플라이언스가 할당된 용량을 계속 초과하는 경우 시스템은 이벤트 및 흐름을 대기열에 넣거나 백업 대기열이 가득 찰 때 데이터를 삭제할 수 있습니다.

사용자 응답

• 라이센스 풀 할당을 조정하여 어플라이언스의 EPS 및 FPM 용량을 늘리십시오.

• 시스템을 조정하여 이벤트 파이프라인으로 들어오는 이벤트 및 플로우의 볼륨을 줄입니다.