18.1 Comprender el tiempo en Sentinel

Sentinel es un sistema distribuido compuesto por varios procesos distribuidos a través de la red. Además, puede haber algún retraso introducido por el origen de evento. Para adaptarlo, los procesos de Sentinel reordenan los eventos en un flujo ordenado por tiempo antes de procesarlos.

Cada evento tiene tres campos de tiempo:

  • Hora del evento: este tiempo u hora del evento lo utilizan todos los motores analíticos, las búsquedas, los informes, etc.

  • Hora de proceso de Sentinel: la hora a la que Sentinel recopiló los datos del dispositivo, que se obtiene de la hora del sistema de Collector Manager.

  • Hora del evento del observador: se trata de la marca horaria que el dispositivo pone en los datos. Los datos podrían no incluir siempre una marca horaria fiable y puede ser bastante diferente de la hora de proceso de Sentinel. Por ejemplo, cuando el dispositivo proporciona los datos por lotes.

La siguiente ilustración explica cómo Sentinel realiza esta acción en una configuración de almacenamiento tradicional:

Figura 18-1 Hora de Sentinel

  1. Por defecto, la hora del evento se define en la hora de proceso de Sentinel. Lo ideal, sin embargo, es que la hora del evento coincida con la hora del evento del observador, si está disponible y es de confianza. Lo mejor es configurar la recopilación de datos en Hora del origen de eventos predeterminado si está disponible la hora del dispositivo, es exacta y es analizada correctamente por el recopilador. El recopilador define la hora del evento para que coincida con la hora del evento del observador.

  2. Los eventos que tienen una hora de evento dentro de un intervalo de 5 minutos con respecto a la hora del servidor (anterior o posterior) se procesan normalmente en Vistas de eventos. Los eventos que tienen una hora del evento más de 5 minutos posterior no se muestran en las Vistas de eventos, pero se ingresan en el almacén de eventos. Los eventos que tienen una hora del evento más de 5 minutos posterior y menos de 24 horas anterior siguen mostrándose en los diagramas, pero no se muestran en los datos de eventos de dicho diagrama. Es necesaria una operación en profundidad para recuperar esos eventos del almacén de eventos.

  3. Los eventos se clasifican en intervalos de 30 segundos para que Correlation Engine pueda profesarlos en orden cronológico. En el caso de que la hora del evento sea más de 30 segundos anterior a la hora del servidor, Correlation Engine no procesará los eventos.

  4. Si la hora del evento es más de 5 minutos anterior a la hora del sistema de Collector Manager, Sentinel encamina directamente los eventos al almacén de eventos, omitiendo los sistemas en tiempo real como Correlation Engine e Inteligencia de seguridad.