複数の Event Importer インスタンスを構成する

適用対象: WatchGuard SIEMFeeder。

Event Importer をホストしているコンピュータからシステム リソースの低下が報告された場合は、複数の Event Importer インスタンスを構成することで、問題を解決することができます。複数の Event Importer インスタンスを同時に実行することができます。

コンピュータからは、以下のリソース低下のインシデントが報告されます。

空きコアがある状態での高 CPU 使用率

Event Importer は、シングルスレッド アプリケーションです。1 つのコアで 80% を超える継続的な CPU 使用率が発生していることがシステム リソースから報告された場合は、異なる配信対象フォルダを使用して、複数の Event Importer インスタンスを実行することができます。コンピュータのコアあたり少なくとも 1 つの Event Importer インスタンスを実行することが勧められます。

空きコアがない状態での高 CPU 使用率

すべてのコアで 80% を超える継続的な CPU 使用率が発生していることがシステム リソースから報告された場合は、Event Importer をより強力なコンピュータにインストールする、またはより強力な CPU にアップグレードします。

ストレージ システムによる高い帯域幅の使用率

ハード ディスク アクセスで高い帯域幅の使用率が発生していることがシステム リソースで示される場合は、ストレージ コンポーネントの 1 つまたはすべてをアップグレードすることが勧められます。

  • 機械式ディスク ドライブをソリッド ステート ドライブ (SSD) に置き換える。
  • 一度に複数のドライブにデータを書き込むことができる RAID-0 システムまたは同等のシステムをインストールする。
  • データ バス インターフェイスをより新しいバージョン (SATA、eSATA、SAS など) に交換する。

複数の Event Importer インスタンスをコマンドライン モードで実行する (Windows)

複数の Event Importer インスタンスを実行するには、以下の手順を実行します。

コマンド プロンプトを使用して、以下を実行します。

  1. WatchGuard ソフトウェア ダウンロード Web サイトから Event Importer の最新バージョンをダウンロードします。各 Event Importer インスタンスで、ファイルの内容を別のフォルダに抽出します。
  2. コマンドライン モードでアプリケーションの各インスタンスを個別に構成および実行する手順を完了します。詳細については、次を参照してください:Microsoft Windows で Event Importer を構成して実行する

Event Importer の各インスタンスを個別に構成します。たとえば、Event Importer によってダウンロードされるログ ファイルに、異なるストレージ チャンネルを使用します。

  1. アプリケーションの 各インスタンスを個別に実行 します。

複数の Event Importer インスタンスをサービス モードで実行する (Windows)

複数の Event Importer インスタンスをサービス モードで実行するには、まずアプリケーションの各インスタンスをコマンドライン モードで実行する必要があります。次に、各 Event Importer インスタンスをサービスとして手動で登録します。

複数の Event Importer インスタンスをサービス モードで実行するには、以下の手順を実行します。

この例では、フォルダ C:\customer1 および C:\customer2 を使用します。各フォルダには、Event Importer インストール ファイルの個別のインスタンスが含まれています。

  1. 前のセクションの 複数の Event Importer インスタンスをコマンドライン モードで実行する (Windows)の手順を完了して、Event Importer インスタンスを作成します。インスタンスをサービスとして実行することを選択しないでください。
  2. 各インスタンスが完了したら、コマンド プロンプトで、キーボード ショートカット Ctrl+C を押して、実行中の EventsFeederImporter.Host.exe の各インスタンスを停止します。
  3. Event Importer インスタンスをサービスとして実行するには、それを管理者として手動で登録する必要があります。複数のインスタンスを登録するには、Microsoft Windows PowerShell プロンプトで各インスタンスに異なる名前を付け、パラメータ servicenamedescriptiondisplayname を使用します。
cd C:\customer1
./EventsFeederImporter.Host.exe install -servicename:ServiceCustomer1 -description:ServiceCustomer1 -displayname:ServiceCustomer1
cd C:\users\customer2
./EventsFeederImporter.Host.exe install -servicename:ServiceCustomer2 -description:ServiceCustomer2 -displayname:ServiceCustomer2

Screen shot of Windows PowerShell, Install multiple services

  1. 各 Event Importer フォルダのルートから、Event Importer の各インスタンスを起動します。
cd C:\customer1
./EventsFeederImporter.Host.exe start -servicename:ServiceCustomer1
cd C:\customer2
./EventsFeederImporter.Host.exe start -servicename:ServiceCustomer2


Screen shot of Windows PowerShell, run multiple services

  1. Windowsで、Task Manager (タスク マネージャー) を開いて、それぞれに独立したサービスが期待通りに実行されていることを確認します。

Screen shot of Task Manager services

複数のインスタンスをコマンドライン モードで実行する (Linux)

  1. WatchGuard ソフトウェア ダウンロード Web サイトから Event Importer の最新バージョンをダウンロードします。ダウンロードするログ ファイルの各インスタンスで、Event Importer ファイルを別のフォルダに抽出します。
  2. この Linux ディストリビューション向けに Event Importer を構成して実行する に説明されている手順を完了して、Event Importer の各インスタンスをコマンドライン モードでインストールします (Linux ディストリビューション)。
  3. Event Importer の各インスタンスを個別に構成します。たとえば、さまざまなストレージ チャンネルを構成して、Event Importer によってダウンロードされるログ ファイルを保存することができます。
  4. 独立して 各インスタンスを実行 します。

関連トピック

SIEMFeeder について

イベント ログを複数の場所にダウンロードする

イベント ログのストレージと転送を構成する