Skip to main content
Lanterna Home

Splunk Lantern

Verificação da aderência ao dimensionamento

  1. Last updated
  2. Save as PDF

Esta atividade avalia a adesão atual ao Splunk User Behavior Analytics (UBA) orientações de dimensionamento para o cluster UBA e determina se é necessário um redimensionamento do cluster. Este procedimento é válido a partir da versão 5.3.0 do UBA.

Este artigo faz parte do Splunk User Behavior Analytics Manual do Proprietário, que descreve as tarefas de manutenção contínua recomendadas que o proprietário de uma implementação UBA deve garantir que sejam executadas para manter a implementação funcional. Para ver mais tarefas de manutenção, clique aqui para ver o manual completo .

Por que é que isso é importante?

Splunk User Behavior Analytics tem diretrizes de dimensionamento muito rígidas que regem o número de nós necessários para um cluster funcionar corretamente em um determinado ambiente. Existem várias métricas de dimensionamento diferentes que fazem parte destas orientações, incluindo eventos de pico por segundo nos dados ingeridos, número de contas monitorizadas, número de dispositivos monitorizados e número de fontes de dados. Quando um cluster UBA é criado, ele é dimensionado em cada uma dessas métricas; o cluster deve ser dimensionado para atender ao maior requisito em todas essas métricas para funcionar corretamente.

Muitas vezes, estas métricas vão mudar ao longo do tempo à medida que novas contas, novas fontes de dados ou novos dispositivos são introduzidos num ambiente. Isto pode empurrar um cluster UBA para cima dos limiares de dimensionamento e causar comportamentos inesperados ou mau funcionamento no cluster UBA. Se a UBA apresentar volumes de dados que excedam o tamanho do cluster começará a soltar dados, uma vez que os modelos de machine learning não têm poder de computação suficiente para acompanhar os volumes de dados.

A monitorização contínua da adesão às diretrizes de dimensionamento é fundamental para garantir o funcionamento contínuo de um cluster UBA. Com o tempo, as métricas que determinam o dimensionamento do cluster podem ter uma tendência a crescer naturalmente como parte do crescimento geral do negócio. Este processo pode passar despercebido pelo administrador da UBA sem monitorização ativa. Quando um cluster UBA está a operar fora das suas limitações de dimensionamento, a integridade das detecções não pode ser garantida; portanto, é uma atividade importante em andamento monitorar essas métricas.

Cronograma

De três em três meses

Pré-requisitos

É necessária uma conta de administrador para aceder às interfaces de administração necessárias para recolher algumas das informações listadas do cluster UBA.

Notas e Avisos

  • Todas as métricas apresentadas nas diretrizes de dimensionamento são baseadas em valores de pico, e não na média. É importante realizar esta atividade numa hora representativa deste estado, geralmente um dia de semana. A realização desta atividade num fim de semana pode resultar em resultados de dimensionamento subnotificados.
  • Ao redimensionar um cluster, considere a possibilidade de dispor de uma margem extra de 20% no tamanho do cluster para permitir um maior crescimento e expansão sem ter de redimensionar o cluster novamente.

Procedimento

Se preferir seguir este procedimento em formato de vídeo, clique aqui para saltar para o final desta página.

Passo 1: Identificar o tamanho actual do cluster UBA

  1. Na página principal do seu ambiente UBA, na barra de menus no canto superior direito da página, clique Sistema e, em seguida, seleccione Cluster a partir do menu suspenso que aparece.
    clipboard_edbb9cb28fb286b9b63d89ac12edab6e8.png
  2. Na página Serviços de Cluster, no lado esquerdo do ecrã, clique no segundo ícone para baixo. Se passar o cursor sobre este ícone, este é rotulado Nódulos de Cluster .
    clipboard_e8dff925c603439a034cf2640e1c3e35b.png
  3. Na página Cluster Nodes, veja o número entre parênteses na parte superior da tabela depois das palavras Cluster Nodes. Registre este número de nós de cluster em algum lugar onde possa ser referenciado posteriormente, como será referido nas etapas subsequentes. Este número indica o tamanho do cluster UBA. Os nós individuais do cluster estão representados na tabela abaixo deste número.
    clipboard_ec11dad5e802eb5737c58f9c42b877c69.png

Passo 2: Avaliar o EPS de pico atual

  1. Na página principal do seu ambiente UBA, na barra de menus no canto superior direito da página, clique Analítica e, em seguida, seleccione Painéis UBA a partir do menu suspenso que aparece.
    clipboard_e2bf85282700c85a9252011de47307a9a.png
  2. Na página Painéis do UBA, clique no item mais à direita na parte superior da página rotulada Eventos .
    clipboard_ee40943396173846c677bec273cbba946.png
  3. Role até a parte inferior desta página até o painel do painel EPS Trend. Passe o cursor sobre o ponto mais alto do gráfico neste painel e veja o número que aparece. Registre este número EPS de pico em algum lugar onde possa ser referenciado posteriormente, como será referido nas etapas subsequentes. Este número representa o pico de EPS que o cluster UBA experimentou.
    clipboard_e985fe25af089337989583ae397137528.png

Passo 3: Avaliar as contas correntes monitorizadas

  1. Na página principal do seu ambiente UBA, na barra de menus no canto superior direito da página, clique Explorar e, em seguida, seleccione Utilizadores a partir do menu suspenso que aparece.
    clipboard_ebec2d5c7b8dd16b60b368fc6c19119d0.png
  2. Na página Tabela de Utilizadores, veja a caixa no canto superior esquerdo da página, abaixo do título Tabela de Utilizadores. Se disser 'Todos os Utilizadores' salta para o passo seguinte. Caso contrário, clique na caixa e seleccione Todos os Utilizadores no menu suspenso subsequente.
    clipboard_e1417f8a7a1cec0d023d72cec5a010cbf.png
  3. Veja o número que está entre parênteses na parte superior da tabela após o título da tabela Users. Registre este número de Utilizadores Pico algures onde possa ser referenciado mais tarde, como será referido nas etapas subsequentes. Este número representa o número de contas monitorizadas na UBA.

Passo 4: Avaliar os dispositivos actuais monitorizados

  1. Na página principal do seu ambiente UBA, na barra de menus no canto superior direito da página, clique Explorar e, em seguida, seleccione Dispositivos a partir do menu suspenso que aparece.
    clipboard_e737588fca47fd28b7d6bb556a2b8e685.png
  2. Na página Tabela de dispositivos, veja a caixa no canto superior esquerdo da página, sob o título Tabela de dispositivos. Se disser Todos os dispositivos, pule para a próxima etapa. Caso contrário, clique na caixa e seleccione Todos os Dispositivos no menu suspenso subsequente.
    clipboard_eb6e82cada06b866581094f8d6d7142b8.png
  3. Veja o número que está entre parênteses na parte superior da tabela após o título da tabela Dispositivos. Registre este número de Dispositivos de Pico em algum lugar onde possa ser referenciado posteriormente, como será referido nas etapas subsequentes. Este número representa o número de dispositivos monitorizados em UBA.
    clipboard_e3cd01b0558380516cfedf0baac81ff23.png

Etapa 5: Avaliar as fontes de log configuradas atualmente

  1. Na página principal do seu ambiente UBA, na barra de menus no canto superior direito da página, clique Gerir e, em seguida, seleccione Fontes de Dados a partir do menu suspenso que aparece.
    clipboard_e3a6258777dc07aec225d41b8297246ef.png
  2. Veja o número das Fontes de Dados no canto superior esquerdo da página. Registre este número de Fontes de Dados em algum lugar onde possa ser referenciado posteriormente, como será referido nas etapas subsequentes. Este número indica o número de fontes de dados configuradas para o cluster UBA.
    clipboard_ee0fc3b863350440208508d9072c04404.png

Etapa 6: Calcular o tamanho do cluster necessário

  1. A informação recolhida é agora comparada com a tabela de dimensionamento UBA para calcular o tamanho do cluster necessário com base nas métricas de dimensionamento atuais. A tabela de dimensionamento UBA pode ser encontrada em Dimensionar a implementação do Splunk UBA no Splunk Docs. Um exemplo da tabela também é fornecido abaixo, como na versão 5.3.0 do UBA:
    clipboard_ecc952e8b2b107eea5d3a9269c126a794.png
  2. Depois de identificado o tamanho ideal do cluster, compare-o com o tamanho atual do cluster reunido na primeira etapa deste procedimento. Se o tamanho do cluster actual for menor do que o tamanho ideal do cluster identificado, deverá ser efectuado um redimensionamento do cluster UBA. Se necessitar de ajuda com esta atividade, contacte a sua equipa de conta Splunk para contratar suporte de serviços profissionais.

Vídeo de vídeo

No vídeo a seguir, pode ver um percurso do procedimento descrito acima.

Próximos passos

Estes recursos podem ajudá-lo a compreender e implementar estas orientações:

Serviços Splunk OnDemand: Utilize estes serviços baseados em crédito para acesso directo aos consultores técnicos da Splunk com uma variedade de serviços técnicos a partir de um catálogo pré-definido. A maioria dos clientes tem Serviços a Pedido por seus plano de suporte de licença . Envolva a equipa ODS em ondemand@splunk.com se quiser ajuda.