이슈
- ESET Inspect 온-프레미스 성능 최적화
솔루션
I. ESET Inspect On-Prem 하드웨어 요구 사항 확인
ESET 검사 서버를 설치하기 전 또는 설치한 후에 하루 평균 이벤트 수를 확인할 수 있습니다. ESET 검사 서버를 설치하기 전에 수를 결정하는 것이 좋습니다.
-
엔드포인트 장치에서 하루 평균 이벤트 수를 결정합니다.
ESET Inspect 서버를 설치하기 전
-
최소 3개의 엔드포인트에 ESET Inspect 커넥터를 설치합니다(ESET Inspect 커넥터는 ESET Inspect 서버 없이도 작동 가능).
-
유효한 ESET Inspect 온-프레미스 제품 정보 사용 기간으로 모듈을 활성화합니다. 활성화는 ESET PROTECT On-Prem에서 모듈 활성화 작업을 생성하여 수행합니다.
-
하루 이상 기다립니다.
-
각 엔드포인트 장치에서 하루 평균 이벤트 수 확인: ESET Inspect Connector가 설치된 폴더(기본 위치는
C:\Program Files\ESET\Inspect Connector)로 이동하여EIConnector.exe --stats명령을 실행하고 출력에서 하루 평균 이벤트 수 메트릭을 확인합니다.
ESET 검사 서버가 설치된 후
대시보드 → 이벤트 로드 탭으로 이동하고 컴퓨터당 처리 및 저장된 이벤트 차트에서 24시간당 수신된 이벤트의 최고값을 확인합니다.
-
-
동일한 장치에서 ESET 검사 서버 및 MySQL에 대한 예상 CPU, RAM 및 디스크 공간 요구 사항을 계산하려면 온라인 도움말 항목의 계산기를 사용하십시오.
아래 표의 값은 엔드포인트에서 하루에 생성되는 이벤트가 100,000개를 넘지 않으며 기본 데이터 보존 기간은 31일이라는 가정을 기반으로 합니다. 환경의 이벤트 수가 100,000개를 초과하는 경우에는 아래 표의 수치를 비례적으로 조정해야 합니다.
|
최소 요구 사항 |
||||||
|
MS SQL Server |
MySQL |
|||||
|
엔드포인트 수 |
500 |
1000 |
5000 |
500 |
1000 |
5000 |
|
메모리 |
4 GB |
4 GB |
12 GB |
4 GB |
4 GB |
12 GB |
|
디스크 공간 |
566 GB |
1.24TB |
6.2TB |
566 GB |
1.1TB |
5.6TB |
|
디스크 IOPS |
1500 |
1500 |
3000 |
1000 |
2000 |
3000 |
|
CPU 코어 수 |
2 |
2 |
10 |
2 |
2 |
8 |
II. ESET 검사 온-프레미스 설치
-
SQL 데이터베이스가 ESET Inspect On-Prem과 동일한 서버에 있고 SQL 인스턴스가 전용인지 확인합니다.
-
ESET Inspect On-Prem 보안 운영 센터(SOC), 보안 중심 IT 또는 IT 관리자를 관리하는 ESET Inspect On-Prem 사용자 유형을 선택합니다. 옵션 간의 차이점에 대한 자세한 내용은 이 온라인 도움말 항목을 참조하십시오.
-
데이터베이스 크기를 최적화하도록 ESET Inspect 온프레미스를 구성합니다. 데이터 수집을 위해 사용 가능한 모든 데이터를 저장하는 경우, 매우 많은 양의 이벤트를 전송하는 실행 파일에 대한 이벤트 필터를 만들어야 할 수 있습니다. 사용 가능한 모든 데이터를 저장하는 옵션을 선택한 경우 자세한 내용은 온라인 도움말 항목을 참조하십시오.
-
ESET Inspect On-Prem을 처음 설치한 후에는 정상 탐지 횟수를 최소화하기 위해 제외를 만들어야 합니다. 이 작업은 다음과 같은 방법으로 수행할 수 있습니다:
- 수동으로 제외 만들기.
- 학습 모드를 사용 설정하여 규칙 학습 모드가 자동으로 제외를 제안하도록 합니다. 제외 항목은 검토할 수 있도록 질문에 표시됩니다. 이 모드는 ESET Inspect 웹 콘솔에 처음 로그인한 후 초기 프롬프트에서 또는 자세히 → 설정 → 규칙 학습 모드로 이동하여 활성화할 수 있습니다.
- 미리 빌드된 제외를 활성화합니다.
III. ESET Inspect 온프레미스 성능 최적화
ESET Inspect를 최대한 활용하려면 완전히 사용하기 전에 다음 업데이트를 수행하여 ESET Inspect를 최적화하는 것이 좋습니다. 이렇게 하면 전반적인 성능이 향상되고 탐지를 관리하고 위협을 완화하기 위해 대응할 때 ESET Inspect를 더 쉽게 사용할 수 있다는 두 가지 이점이 있습니다.
| 업데이트 | 설명 |
| 시스템 요구 사항 |
ESET Inspect 서버가 사양에 맞는지, 소프트웨어 및 하드웨어 요구 사항을 충족하는지(또는 초과하는지) 확인합니다. 데이터베이스 시스템을 실행할 수 있는 충분한 저장 공간이 있는 전용 시스템을 사용하면 성능이 더욱 향상될 수 있습니다. 이는 필수는 아니며 단일 서버 환경에서 ESET Inspect를 실행할 수 있습니다. |
| MySQL | 옵션이 있는 경우 MySQL을 선택하여 ESET Inspect 데이터베이스를 실행합니다. 현재 ESET 검사 데이터베이스를 실행할 때 Microsoft SQL Server보다 성능이 우수합니다. |
| 스레드 수 |
이는 ESET 검사 데이터베이스가 ESET 검사 서버와 다른 서버에서 실행되는 경우에만 적용됩니다. ESET 검사 서버와 ESET 검사 데이터베이스가 동일한 시스템에서 실행되는 경우 자동으로 구성되므로 이 단계를 건너뛸 수 있습니다. 코어 수를 설정하여 성능을 향상시켜 ESET 검사 서버의 효율성을 높일 수 있습니다. 자세히 → 설정 → 데이터베이스 성능(온프레미스 버전에서만 사용 가능)을 클릭하고 다음 공식에 따라 데이터베이스에 쓰는 스레드 수를 지정합니다: 1.eSET Inspect 데이터베이스를 실행하는 서버의 물리적 코어 수의 5배 |
| 성능 확인 |
시스템의 적합성, 성능 및 성능을 확인하는 것이 좋습니다. ESET Inspect는 많은 양의 데이터를 처리하므로 성능 문제가 발생할 수 있습니다. 일반적으로 데이터베이스가 병목 현상을 일으킬 수 있습니다. 이러한 성능 문제는 일반적으로 하드웨어 사양, 특히 디스크 공간 부족으로 인해 발생합니다. 그러나 ESET Inspect에서 수집하는 이벤트가 너무 많은 경우에도 성능이 저하될 수 있습니다. 정상적인 서버는 초당 많은 수의 이벤트를 처리하지만 이벤트 패킷 대기열 길이가 짧습니다. 서버의 성능 검사를 수행하여 서버의 성능을 확인합니다. |
| 이벤트 수 최소화하기 |
컴퓨터당 처리 및 저장되는 이벤트(저장 또는 수신 후 24시간 이내)는 성능에 가장 큰 영향을 미칩니다. 이벤트는 파일 쓰기, DNS 조회 또는 새 레지스트리 항목 생성과 같은 프로세스에서 수행되는 작업입니다. 이러한 모든 이벤트는 원시 이벤트 보기에 나열된 개별 이벤트입니다. 평균적으로 워크스테이션은 24시간당 약 100,000개의 저장 이벤트를 생성합니다(환경에 따라 다름). 목표는 저장된 이벤트의 수를 줄이는 것입니다. 일부 이벤트 필터(자동 제외)는 ESET Inspect에서 제안합니다. 알림을 클릭하여 제외를 검토한 다음 수락하거나 거부합니다. 또한 제외를 사용자 지정하거나 수동으로 생성하여 이벤트 필터의 성능을 더욱 최적화할 수 있습니다. 설정 → 데이터 수집을 클릭하여 엔드포인트 컴퓨터에서 수집할 데이터 유형을 선택합니다. 온-프레미스 버전에서만 사용할 수 있습니다. |
| 이벤트 로드 |
ESET Inspect는 이상 징후 또는 이상값을 포함한 이벤트 데이터를 수집합니다. 예를 들어 안전하다고 간주되지만 과도하게 발생하는 알려진 실행 이벤트와 같은 이상값을 식별합니다. 이벤트 수를 줄이려면 실행 파일에 대한 필터를 만드세요:
대부분의 이상값 이벤트를 해결할 때까지 이 프로세스를 계속 진행합니다. 또한 이벤트 로드 내의 다른 테이블에 대해서도 이 절차를 따르세요. 이 최적화는 성능 향상에 상당한 영향을 미칠 수 있습니다. |
| 이벤트 빈도 변경 |
여전히 이벤트가 너무 많은 경우 ESET PROTECT On-Prem에서 새 정책을 만들어 이벤트 전송 간격을 줄이도록 결정할 수 있습니다: 정책 → 추가 → 설정을 클릭하고 ESET 검사 커넥터를 선택합니다. 서버로 이벤트 전송 간격에서 이벤트가 전송되는 원하는 시간과 빈도를 지정합니다. |
| 오탐 탐지 |
오탐지를 제거하여 데이터베이스를 언로드하고 향후 데이터 과부하를 방지합니다. 오탐 감지에 대한 규칙 제외를 만듭니다.
|
| 팁 |
|
