ArcSight
官方技術文件
- ArcSight 產品文件總覽 — 所有 ArcSight 產品文件入口
- ArcSight ESM 管理指南(v7.9) — ESM 安裝、設定與管理
- ArcSight ESM 101 入門指南(PDF) — ESM 架構概觀
- SmartConnector 設定指南 — Connector 安裝與設定
版本更新與新功能
- ArcSight 各版本 Release Notes — 從文件總覽頁面選擇產品與版本查看
弱點安全公告
- OpenText 安全公告 — 安全弱點修補與通報
技術社群
- OpenText Cybersecurity 社群 — ArcSight 技術論壇
常見問題 FAQ
以下 FAQ 由頤合資訊根據多年協助台灣金融機構維運 ArcSight ESM 的實戰經驗整理。
Q1:ESM 系統日誌只能保存幾個小時,發生問題時來不及查 log 怎麼辦?
ESM 預設的日誌保存配置(每個 log 檔案 10MB、最多保存 20 個檔案)在體 EPS 環境下通常只能保存約 6 小時的系統日誌。一旦 ESM 發生異常,關鍵證據可能已經被輪替覆蓋。
建議做法: 將最多保存檔案數調整為 60 個以上(每個檔案維持 10MB),目標是至少保存 48 小時的系統日誌。調整前確認磁碟空間充足(額外約需 400-600MB)。
Q2:什麼是 Backpressure?為什麼 ESM 會發生 Backpressure?
Backpressure(背壓)是 ESM 分散式架構中的流量控制機制。當 Persistor 要將事件傳送到 Correlator 進行規則過濾時,如果事件量超過 Correlator 處理能力,系統就會觸發 Backpressure。在 ACC 的 Cluster View 儀表板上會看到 p-to-c topic 出現告警。
常見根因: 關聯規則過濾條件太寬鬆消耗過多記憶體、Active List 更新頻率過高、特定時段事件量暴增。若持續發生且未處理,可能導致 ESM 服務中斷。
Q3:如何監控和預防 Backpressure?
短期: 撰寫 script 定期掃描 ESM 系統日誌偵測 backpressure 關鍵字,觸發時立即發送 Email 或 SNMP Trap 通知維運人員。
中長期: 收集 Backpressure 發生當下的完整日誌,分析哪些規則消耗最多資源,針對高資源消耗的規則進行條件收斂,並減少非必要的 Active List 更新頻率。
Q4:ESM 日誌出現 HazelcastSerializationException 錯誤是什麼意思?
典型訊息為 Unknown field name for ClassDefinition,表示 Active List 中的欄位類型定義與實際寫入的資料格式不一致。需逐一檢視出現錯誤的 Active List,比對欄位定義與寫入資料的格式並修正。
Q5:Active List 使用率過高會怎樣?如何監控?
使用率達 100% 時新條目無法寫入,變更率過高則會消耗大量系統資源。對於僅需確認條目是否存在的清單,將 Count Limit 設為 1,避免不必要的更新。
建議告警門檻: 使用率達 80% 每日通知(警戒)、達 100% 即時通知(緊急)、Change Rate 超過 100/s 觸發告警。
Q6:什麼是 Partial Match?為什麼過高會影響效能?
Partial Match 是事件符合規則部分條件但尚未完全匹配的狀態,ESM 會將半匹配事件暫存在記憶體中。超過 100,000 代表大量事件持續佔用記憶體,嚴重影響效能。
調校方向: 找出 Partial Match 最高的規則,收斂第一個過濾條件(加入設備供應商、產品、事件類別等限定)。
建議告警門檻: 超過 80,000 每日通知(警戒)、超過 100,000 即時告警(緊急)。
Q7:多條規則使用了相同的 Filter,會有效能問題嗎?
會的。建議將共用過濾邏輯統一建立為一個共用 Filter 物件,讓多條規則引用同一個,避免重複運算。
Q8:SmartConnector 斷線了沒人知道,怎麼建立監控機制?
建議在 ArcMC 上啟用以下七項監控規則,並設定告警通知:
| 監控項目 | 條件 | 說明 |
|---|---|---|
| Caching | CONNECTOR_CACHING > 100(5 分鐘) | Connector 開始寫入快取 |
| Events Dropped | CACHE_EVENTS_DROPPED > 100(5 分鐘) | 快取已滿,事件遺失 |
| Full GC | FULL_GC_COUNT > 7(60 分鐘) | GC 過頻,可能服務中斷 |
| Memory 警戒 | JVM_MEMORY > 80%(5 分鐘) | 記憶體觸及警戒值 |
| Memory 緊急 | JVM_MEMORY > 90%(5 分鐘) | 記憶體嚴重不足 |
| EPS Out = 0 | EPS_OUT = 0(5 分鐘) | Connector 停止向 ESM 傳送 |
| EPS In = 0 | EPS_IN = 0(5 分鐘) | 前端設備停止傳送 |
Q9:分散式 ESM 架構的日常維運 Checklist?
每日: ACC Cluster View 確認所有元件狀態正常、EPS 與 LAG 指標無異常。
每週: Active List 使用率排行、Partial Match 排行、SmartConnector 健康檢查。
每季: 規則全面檢視、Active List 清理、版本更新評估。
Q10:ESM 效能健診通常檢查哪些項目?
完整健診涵蓋四大方向:Log 保存策略檢視、Active List 資源檢視、Rule 資源檢視(Partial Match、重複 Filter)、SmartConnector 監控檢視。健診後依影響程度排定改善優先順序。
頤合資訊可協助客戶執行 ESM 效能健診,或在原廠健診後協助落實改善計畫。
需要技術支援?
如果您在上述資源中找不到所需的解答,或需要進一步的技術協助,頤合資訊的顧問團隊隨時為您服務。
📞 (02) 8226-2333 | 1–2 個工作天內回覆