Standardmäßig beinhaltet der Sentinel-Server die folgenden Komponenten:
Collector Manager: Collector Manager stellt eine flexible Datenerfassungsstelle für Sentinel bereit.
Correlation Engine: Die Correlation Engine verarbeitet Ereignisse aus dem Echtzeit-Ereignisstrom, um zu ermitteln, ob Korrelationsregeln ausgelöst werden sollen.
Elasticsearch: Optionale Datenspeicherkomponente zum Speichern und Indexieren von Daten. Standardmäßig enthält Sentinel einen Elasticsearch-Knoten. Wenn Sie große EPS über 2.500 erwarten, stellen Sie zusätzliche Elasticsearch-Knoten in einem Cluster bereit.
WICHTIG:Für Produktionsumgebungen sollten Sie eine verteilte Bereitstellung einrichten, da hierbei die Datenerfassungskomponenten auf einem separaten Computer isoliert werden. Dies ist für die Bewältigung von Spitzenlasten und anderen Anomalien mit größtmöglicher Systemstabilität wichtig.
In diesem Abschnitt werden die Vorteile der verteilten Bereitstellung beschrieben.
Der Sentinel-Server umfasst standardmäßig einen Collector Manager. Für Produktionsumgebungen bieten verteilte Collector Manager-Instanzen jedoch eine deutlich bessere Isolierung, wenn große Datenmengen empfangen werden. In dieser Situation wird ein verteilter Collector Manager unter Umständen überlastet; der Sentinel-Server verarbeitet die Benutzeranforderungen jedoch weiter.
Die Installation von mehr als einem Collector Manager in einem verteilten Netzwerk bietet die folgenden Vorteile:
Verbesserte Systemleistung: Zusätzliche Collector Manager-Instanzen können Ereignisdaten in einer verteilten Umgebung analysieren und verarbeiten und steigern so die Systemleistung.
Zusätzliche Datensicherheit und geringere Anforderungen an die Netzwerkbandbreite: Wenn die Collector Manager-Instanzen gemeinsam mit Ereignisquellen installiert werden, können Filterung, Verschlüsselung und Datenkomprimierung an der Quelle ausgeführt werden.
Datei-Caching: Zusätzliche Collector Manager-Instanzen können große Datenmengen im Cache speichern, während der Server vorübergehend mit dem Archivieren von Ereignissen oder dem Verarbeiten von Ereignisspitzen ausgelastet ist. Diese Funktion ist von Vorteil bei Protokollen wie Syslog, die nicht von vornherein ein Ereignis-Caching unterstützen.
Sie können zusätzliche Collector Manager-Instanzen an den geeigneten Speicherorten in Ihrem Netzwerk installieren. Diese Remote-Instanzen von Collector Manager führen Connectors und Collectors aus und leiten die erfassten Daten zur Speicherung und Verarbeitung an den Sentinel-Server weiter. Weitere Informationen zum Installieren von zusätzlichen Collector Manager-Instanzen finden Sie unter Abschnitt III, Installieren von Sentinel.
HINWEIS:Sie können immer nur einen Collector Manager auf einem einzelnen System installieren. Sie können zusätzliche Collector Manager-Instanzen auf Remote-Systemen installieren und diese dann mit dem Sentinel-Server verbinden.
Sie können mehrere Correlation Engine-Instanzen (jede auf einem eigenen Server) bereitstellen, ohne dass Konfigurationen repliziert oder Datenbanken hinzugefügt werden müssen. In Umgebungen mit vielen Korrelationsregeln oder extrem hohen Ereignisraten ist es von Vorteil, mehr als eine Correlation Engine zu installieren und einige Regeln auf der neuen Correlation Engine erneut bereitzustellen. Wenn das Sentinel-System zusätzliche Datenquellen aufnimmt oder die Ereignisrate steigt, bieten mehrere Correlation Engine-Instanzen die Möglichkeit der Skalierung. Informationen zur Installation von zusätzlichen Correlation Engine-Instanzen finden Sie unter Abschnitt III, Installieren von Sentinel.
HINWEIS:Sie können immer nur eine Correlation Engine auf einem einzelnen System installieren. Sie können zusätzliche Correlation Engine-Instanzen auf Remote-Systemen installieren und diese dann mit dem Sentinel-Server verbinden.