NetIQ admite Sentinel en los sistemas operativos descritos en esta sección. NetIQ también admite Sentinel en sistemas con pequeñas actualizaciones a estos sistemas operativos, como por ejemplo parches de seguridad y correcciones (hotfixes). Sin embargo, no es posible ejecutar Sentinel en sistemas que hayan realizado importantes actualizaciones de estos sistemas operativos hasta que NetIQ no haya probado y certificado dichas actualizaciones.
El servidor Sentinel, el gestor de recopiladores y el motor de correlación son compatibles con los siguientes sistemas operativos y plataformas:
|
Categoría |
Requisito |
|---|---|
|
Sistema operativo |
Sentinel es compatible con los siguientes sistemas operativos:
* Sentinel 7 no se admite en las instalaciones Open Enterprise Server de SLES. |
|
Plataforma virtual |
NetIQ proporciona dispositivos que instalan un servidor SLES 11 SP1 de 64 bits y Sentinel en las siguientes plataformas virtuales:
|
|
Imágenes ISO en DVD |
NetIQ proporciona un archivo de imagen ISO en DVD que instala SLES 11 SP1 de 64 bits y Sentinel en:
|
Las recomendaciones de hardware para una implementación de Sentinel pueden variar en función de la implementación individual, por lo que se recomienda consultar con NetIQ Consulting Services (servicios de consultoría) o con algún socio de NetIQ Sentinel antes de finalizar la arquitectura de Sentinel.
En esta sección se enumeran los requisitos de hardware recomendados para un sistema de producción que albergue 90 días de datos en línea. Estas recomendaciones suponen un tamaño medio de eventos de 600 bytes. Las recomendaciones de almacenamiento local y en red incluyen un buffer del 20 % por encima de las estimaciones reales de almacenamiento. NetIQ recomienda integrar un buffer en caso de que las estimaciones sean inexactas o que alguno de los servidores experimente mayor actividad con el tiempo.
Utilice los siguientes requisitos de hardware para ejecutar el servidor Sentinel con todos los componentes de Sentinel instalados en un solo servidor:
|
Categoría |
100 EPS |
2500 EPS |
5000 EPS |
|---|---|---|---|
|
CPU |
Un procesador Intel Xeon X5570 2,93 GHz (4 núcleos de CPU) |
Dos CPU Intel Xeon X5470 3,33 GHz (4 núcleos) CPUs (8 núcleos en total) |
Dos CPU Intel Xeon X5470 3,33 GHz (4 núcleos) CPUs (8 núcleos en total) |
|
Almacenamiento local (30 días) |
2 unidades de 256 GB, 7200 RPM (hardware RAID con caché de 256 MB) |
8 unidades de 7200 RPM, x 1.2 TB (RAID 10 en hardware con 256 MB de caché) |
16 unidades de 15000 RPM, x 1.2 TB, (RAID 10 en hardware con 512 MB de caché) o una red de área de almacenamiento equivalente (SAN) |
|
Almacenamiento en red (90 días) |
2 x 128 GB |
4 x 1 TB |
8 x 1 TB |
|
Memoria |
Otras instalaciones: 4 GB Instalación de imagen ISO en DVD: 4.5 GB |
16 GB |
24 GB |
NOTA:Sentinel es compatible en procesadores Intel Xeon x86 de 64 bits y AMD Opteron, pero no con los procesadores puros de 64 bits como Itanium.
Siga estas pautas para obtener un rendimiento óptimo del sistema:
El almacenamiento local debe tener espacio suficiente para guardar como mínimo 5 días de datos, incluyendo tanto datos de eventos como datos en bruto. Para obtener más información sobre la forma de calcular los requisitos de almacenamiento de datos, consulte la Sección 1.1.5, Estimación de requisitos de almacenamiento de datos.
El almacenamiento en red contiene el total de 90 días, e incluye una copia totalmente comprimida de los datos de eventos en el almacenamiento local. Se guarda una copia de los datos de eventos en el almacenamiento local para buscar e informar de datos de rendimiento. El tamaño de almacenamiento local puede disminuirse si preocupan los costes de almacenamiento. Sin embargo, debido al gasto de descompresión, se producirá una disminución estimada del 70% en el rendimiento de búsqueda y creación de informes en los datos que normalmente estarían en el almacenamiento local.
Debe configurar la ubicación de almacenamiento en red en una red SAN externa de varias unidades o en un almacenamiento con interconexión a la red (NAS).
El volumen de estado regular recomendado es del 80 % del número máximo de EPS con licencia. NetIQ recomienda añadir otras instancias de Sentinel si se alcanza el límite.
Utilice los siguientes requisitos de hardware para ejecutar el gestor de recopiladores en un sistema diferente del servidor Sentinel en un entorno de producción:
|
Categoría |
Mínimo |
Recomendación |
|---|---|---|
|
CPU |
Un procesador Intel Xeon L5240 de 3 GHz (de 2 núcleos) |
Un procesador Intel Xeon X5570 2,93-GHz (4 núcleos de CPU) |
|
Espacio de disco |
10 GB (RAID 1) |
20 GB (RAID 1) |
|
Memoria |
1.5 GB |
4 GB |
|
Número estimado (EPS) |
500 |
2.000 |
Utilice los siguientes requisitos del sistema para ejecutar el motor de correlación en un sistema diferente del servidor Sentinel en un entorno de producción:
|
Categoría |
Mínimo |
Recomendación |
|---|---|---|
|
CPU |
Un procesador Intel Xeon L5240 de 3 GHz (de 2 núcleos) |
Un procesador Intel Xeon X5570 2,93-GHz (4 núcleos de CPU) |
|
Espacio de disco |
10 GB (no se requiere RAID) |
10 GB (no se requiere RAID) |
|
Memoria |
1.5 GB |
4 GB |
|
Número estimado (EPS) |
500 |
2500 |
Sentinel incluye un sistema de almacenamiento basado en archivos integrado y una base de datos, que son todo lo necesario para ejecutar Sentinel. Sin embargo, si utiliza la función opcional de sincronización de datos para copiar datos a un almacén de datos, Sentinel admite el uso de Oracle versión 11g R2 o Microsoft SQL Server 2008 R2 como almacén de datos.
La interfaz Web de Sentinel está optimizada para una visualización a una resolución de 1280 x 1024 o superior en los siguientes navegadores compatibles:
NOTA:Para cargar correctamente las aplicaciones del cliente de Sentinel, debe tener instalado en su sistema el módulo auxiliar (plug-in) de Sun Java.
|
Plataforma |
Navegador |
|---|---|
|
Windows 7 |
Para obtener más información sobre Internet Explorer 8, consulte Requisitos previos para Internet Explorer. |
|
SLES 11 SP1 y RHEL 6 |
Para obtener más información, consulte la Actualización manual de la versión de Firefox. |
Si el nivel de Seguridad de Internet se configura en Alto, aparece una página en blanco después de entrar en Sentinel y el navegador podría bloquear la ventana emergente de descarga de archivos. Para salvar este problema, deberá fijar primero el nivel de seguridad en Medio-alto y luego cambiar a nivel Personalizado de la siguiente manera:
Desplácese a y fije el nivel de seguridad en .
Asegúrese de que no esté seleccionada la opción .
Desplácese a , luego desplácese a la sección y elija en la opción .
Sentinel admite Firefox versiones 5 a 10; sin embargo, el sistema SLES 11 SP1 se envía con Firefox versión 3.6x. Realice los siguientes pasos para actualizar manualmente la instalación de SLES 11 SP1 para que incluya una versión compatible de Firefox:
Abra YaST.
Seleccione > para mostrar la ventana de Repositorios de software configurados.
Haga clic en para abrir la ventana Tipo de medio.
Seleccione la opción para y haga clic en .
Se mostrará la ventana Dirección URL del repositorio.
Introduzca el enlace del Repositorio de software en el cuadro de texto de dirección URL y luego haga clic en .
Se descargará el repositorio de software.
Haga clic en para actualizar el repositorio de software.
Haga clic en para abrir la ventana de YaST2.
Introduzca Firefox en el cuadro de texto .
Se mostrará la lista de paquetes de Firefox.
Seleccione los paquetes necesarios para la versión compatible de Firefox que desea instalar.
Si selecciona un paquete que está en conflicto con la versión existente, se mostrará un cuadro de diálogo de advertencia. Seleccione la opción que corresponda y luego haga clic en el botón .
Haga clic en
Sentinel se utiliza para retener datos en bruto durante un largo período de tiempo con el fin de cumplir los requisitos legales y de otro tipo. Sentinel utiliza compresión para ayudarle a utilizar el espacio de almacenamiento local o de red de forma eficaz. Sin embargo, los requisitos de almacenamiento podrían aumentar de forma significativa transcurrido un largo período de tiempo.
Para superar los problemas de limitación de costes de los grandes sistemas de almacenamiento, puede usar sistemas de almacenamiento de datos económicos para almacenar los datos a largo plazo. Los sistemas de almacenamiento basados en cinta representan la solución más común y rentable. No obstante, las cintas no permiten el acceso aleatorio a los datos almacenados, que resulta necesario para realizar búsquedas rápidas. Por ello, resulta recomendable un planteamiento híbrido para el almacenamiento de datos a largo plazo, en el que los datos que se han de buscar están disponibles en un sistema de almacenamiento de acceso aleatorio y los datos que queremos conservar, y no buscar, se guardan en un medio alternativo y económico, como una cinta. Para obtener instrucciones para la aplicación de este planteamiento híbrido, consulte Using Sequential-Access Storage for Long Term Data Storage
(Uso de almacenamiento de acceso secuencial para el almacenamiento de datos a largo plazo) en NetIQ Sentinel 7.0.1 Administration Guide (Guía de administración de NetIQ Sentinel 7.0.1).
Para determinar la cantidad de espacio de almacenamiento de acceso aleatorio necesario para Sentinel, haga primero una estimación del número de días de datos que necesita buscar con regularidad o sobre los que necesita ejecutar informes. Debe tener suficiente espacio en el disco duro ya sea a nivel local en el equipo de Sentinel o a distancia en el protocolo Server Message Block (SMB) o el protocolo CIFS, el sistema de archivos de red (NFS) o en una SAN para que Sentinel los utilice con fines de archivado de datos.
Debe tener el siguiente espacio adicional en el disco duro aparte de los requisitos mínimos:
Para acomodar las velocidades de datos superiores a las esperadas.
Para copiar datos desde la cinta y de nuevo a Sentinel para realizar búsquedas y generar informes sobre los datos históricos.
Utilice las siguientes fórmulas para estimar la cantidad de espacio necesario para almacenar datos:
Almacenamiento de eventos local (parcialmente comprimidos): {tamaño medio en bytes por evento} x {número de días} x {eventos por segundo} x 0.00008 = espacio total de almacenamiento (GB) necesario
Los tamaños de evento típicos tienen de 300 a 1000 bytes.
Almacenamiento de eventos en red (totalmente comprimidos): {tamaño medio en bytes por evento} x {número de días} x {eventos por segundo} x 0.00001 = espacio total de almacenamiento (GB) necesario
Almacenamiento de datos en bruto (totalmente comprimidos tanto en almacenamiento local como en red): {tamaño medio en bytes por registro de datos en bruto} x {número de días} x {eventos por segundo} x 0.000003 = espacio total de almacenamiento (GB) necesario
El tamaño medio típico de datos en bruto para los mensajes de syslog es de 200 bytes.
Tamaño total de almacenamiento local (con almacenamiento en red habilitado): {Tamaño de almacenamiento local de eventos para el número de días deseado} + {Tamaño de almacenamiento de datos en bruto durante un día) = Espacio total de almacenamiento (GB) necesario
Si está activado el almacenamiento en red, los datos de eventos normalmente se copian al almacenamiento en red al cabo de 2 días. Para obtener más información, consulte Configuring Data Storage
(Configuración de almacenamiento de datos) en la NetIQ Sentinel 7.0.1 Administration Guide (Guía de administración de NetIQ Sentinel 7.0.1).
Tamaño total de almacenamiento local (con el almacenamiento en red deshabilitado): {Tamaño de almacenamiento local de eventos} + {Tamaño de almacenamiento de datos en bruto para el tiempo de retención) = Espacio total de almacenamiento (GB) necesario
Tamaño total de almacenamiento en red: {Tamaño de almacenamiento en red de eventos para el tiempo de retención} + {Tamaño de almacenamiento de datos en bruto para el tiempo de retención} = Espacio total de almacenamiento (GB) necesario
NOTA:
Los coeficientes de cada fórmula representan ((segundos por día) x (GB por byte) x relación de compresión).
Estas cifras son sólo estimaciones y dependen del tamaño de los datos de eventos así como del tamaño de los datos comprimidos.
Parcialmente comprimidos significa que los datos están comprimidos, pero no el índice de los datos. Totalmente comprimidos significa que tanto los datos de eventos como los datos del índice están comprimidos. La relación de compresión de los datos de eventos es por lo general de 10:1. La relación de compresión del índice es por lo general de 5:1. El índice se utiliza para optimizar la búsqueda a través de los datos.
Puede usar las fórmulas anteriores para determinar cuánto espacio de almacenamiento se requiere para un sistema de almacenamiento de datos a largo plazo, como por ejemplo una cinta.
Utilice las siguientes fórmulas para estimar el nivel de utilización del disco en el servidor a diversas velocidades de EPS.
Datos escritos en el disco (kilobytes por segundo): (tamaño medio de eventos en bytes + tamaño medio de datos en bruto en bytes) x (eventos por segundo) x 0,002 coeficiente de compresión = datos escritos por segundo en el disco
Por ejemplo, a 500 EPS, para un tamaño medio de eventos de 758 bytes y un tamaño medio de datos en bruto de 490 bytes en el archivo de registro, los datos escritos en el disco se determinan de la siguiente manera:
(758 bytes + 490 bytes) x 500 EPS x 0,002 = ~1100 KB
Número de peticiones de E/S en el disco (transferencias por segundo): (tamaño medio de eventos en bytes + tamaño medio de datos en bruto en bytes) x (eventos por segundo) x 0,00002 coeficiente de compresión = Peticiones de E/S por segundo en el disco
Por ejemplo, a 500 EPS, para un tamaño medio de eventos de 758 bytes y un tamaño medio de datos en bruto de 490 bytes en el archivo de registro, el número de peticiones de E/S por segundo en el disco se determina de la siguiente manera:
(758 bytes + 490 bytes) x 500 EPS x 0,00002 = ~10 transferencias por segundo
Número de bloques escritos por segundo en el disco: (tamaño medio de eventos en bytes + tamaño medio de datos en bruto en bytes) x (eventos por segundo) x 0,003 coeficiente de compresión = Bloques escritos por segundo en el disco
Por ejemplo, a 500 EPS, para un tamaño medio de eventos de 758 bytes y un tamaño medio de datos en bruto de 490 bytes en el archivo de registro, el número de bloques escritos por segundo en el disco se determina de la siguiente manera:
(758 bytes + 490 bytes) x 500 EPS x 0,003 = ~1800 bloques por segundo
Lectura de datos del disco por segundo al realizar una búsqueda: (tamaño medio de eventos en bytes + tamaño medio de datos en bruto en bytes) x (número de eventos que coinciden con una consulta en millones) x 0,40 coeficiente de compresión = kilobytes leídos por segundo del disco
Por ejemplo, a 5 millones de eventos coincidentes con la consulta de búsqueda, para un tamaño medio de eventos de 758 bytes y un tamaño medio de datos en bruto de 490 bytes en el archivo de registro, la lectura de datos por segundo en el disco se determina de la siguiente manera:
(758 bytes + 490 bytes) x 5 x 0,4 = ~500 KB
Utilice las siguientes fórmulas para estimar el uso de ancho de banda de la red entre el servidor Sentinel y el gestor de recopiladores remoto a diferentes números de eventos por segundo (EPS):
{tamaño medio de eventos en bytes + tamaño medio de datos en bruto en bytes} x {eventos por segundo} x 0,0003 coeficiente de compresión = ancho de banda de la red en Kbps (kilobits por segundo)
Por ejemplo, a 500 EPS para un tamaño medio de eventos de 758 bytes y un tamaño medio de datos en bruto de 490 bytes en el archivo de registro, el uso de ancho de banda de la red se determina de la siguiente manera:
(758 bytes + 490 bytes} x 500 EPS x 0,0003 = ~175 Kbps
Sentinel se ha probado a fondo en servidores VMware ESX y la compatibilidad es total. Al configurar un entorno virtual, los equipos virtuales deben tener 2 o más CPU. Para obtener resultados de rendimiento comparables a los resultados obtenidos en las pruebas con equipos físicos en ESX o en otro entorno virtual, el entorno virtual debe contar con la misma capacidad de memoria, CPU, espacio en disco y opciones de E/S que las recomendaciones para equipos físicos.
Para obtener información sobre recomendaciones para equipos físicos, consulte la Sección 1.1, Requisitos del sistema y plataformas compatibles.