Una implementación de Sentinel puede variar en función de las necesidades del entorno, por lo que se recomienda consultar con Servicios de consultoría de NetIQ o con algún socio de NetIQ Sentinel antes de finalizar la arquitectura de Sentinel.
En esta sección se proporciona información sobre tamaño basada en las pruebas realizadas en NetIQ con el hardware disponible en el momento de la prueba. Es probable que otras configuraciones de hardware de mayor dimensión y potencia puedan manejar una carga mayor.
Las configuraciones "todo en uno" ponen toda la carga de procesamiento en el servidor Sentinel en lugar de distribuirla a los gestores de recopiladores y los motores de correlación remotos. Aunque la configuración integral o "todo en uno" puede funcionar muy bien en escenarios sencillos donde solo se utiliza un pequeño conjunto de funciones de forma limitada, no sucede igual cuando existe un gran número de funciones que se utilizan de manera más amplia. Por ejemplo, si utiliza más reglas de correlación que las predefinidas, se sobrecarga el sistema y ello puede dar lugar a que otras funciones del mismo servidor se resientan debido a un aumento de utilización de recursos del motor de correlación.
Se requiere distribuir la carga a los gestores de recopiladores remotos cuando se utiliza más de un pequeño número de recopiladores.
Se requiere distribuir la carga a los motores de correlación remotos cuando se utilizan más reglas de correlación que las predefinidas.
Distribuir la carga es una buena idea cuando se prevé aumentar el número de funciones o intensificar su uso.
La capacidad de la CPU para llevar a cabo la función de hyperthreading ha demostrado tener un efecto muy positivo en la carga que puede manejar el sistema. Por lo tanto, a la hora de decidir qué tipo de CPU adquirir, asegúrese de tener en cuenta si se había habilitado la función de hyperthreading durante las pruebas de referencia a continuación y asegúrese de que la CPU elegida tenga capacidades de hyperthreading buenas u óptimas.
Categoría |
Descripción |
Demostración "todo en uno" no prevista para producción |
"Todo en uno" mediana |
Recopilación de datos basada en agentes mediana |
"Todo en uno" grande |
Recopilación de datos sin agentes distribuida grande |
Muy grande |
---|---|---|---|---|---|---|---|
Capacidad de EPS conservados |
La tasa de eventos por segundo procesada por los componentes en tiempo real y conservados en el almacenamiento por el sistema. |
100 EPS |
2500 EPS |
2500 EPS |
9000 EPS |
11000 EPS |
+11000 EPS |
Capacidad de EPS operativos |
La tasa total de eventos por segundo recibidos por el sistema de los orígenes de eventos. Incluye los datos abandonados por la función de filtrado inteligente del sistema antes de almacenarse y es el número utilizado para fines de cumplimiento de licencias basadas en EPS. |
100 EPS |
+2500 EPS |
+2500 EPS |
9000 EPS |
16000 EPS |
+16000 EPS |
Hardware de servidor Sentinel |
|||||||
CPU |
CPU Intel Xeon E5420 a 2,50 GHz (4 núcleos CPU), sin hyper-threading |
Dos CPU Intel Xeon E5450 a 3,00 GHz (4 núcleos por CPU; 8 núcleos en total), sin hyper-threading |
Dos AMD Opteron 2431 a 2,40 GHz (6 núcleos por CPU; 12 núcleos en total) |
Dos CPU Intel(R) Xeon(R) E5-2680 0 a 2,70 GHz (8 núcleos) (16 núcleos en total), con hyper-threading |
Póngase en contacto con los servicios de NetIQ |
||
Almacenamiento local |
Datos almacenados en caché local para ofrecer un mejor rendimiento de búsqueda. |
Unidad de 500 GB a 7200 RPM |
5 SAS de 300 GB a 15000 RPM (Hardware RAID 0) |
3 SAS de 146 GB a 10000 RPM (RAID 0, stripe size 128k) |
5 TB, 8 SAS de 600 GB a 15 000 RPM (Hardware RAID 0, tamaño de franja 128k) |
||
Almacenamiento en red |
Incluye una copia de los datos en el almacenamiento local. |
No se utiliza |
No se utiliza |
No se utiliza |
No se utiliza |
||
Memoria |
4 GB |
24 GB |
16 GB |
64 GB |
|||
Hardware de gestor de recopiladores remoto n.º 1 |
|||||||
CPU |
No corresponde (solo CM integrado local) |
Dos CPU Intel(R) Xeon(R) E5-2680 0 a 2,70 GHz (8 núcleos) (16 núcleos en total), con hyper-threading |
Póngase en contacto con los servicios de NetIQ |
||||
Almacenamiento |
|
|
20 GB de espacio libre |
Póngase en contacto con los servicios de NetIQ |
|||
Memoria |
|
|
24 GB |
||||
Hardware de gestor de recopiladores remoto n.º 2 |
|||||||
CPU |
No corresponde (solo CM integrado local) |
8 CPU Core Intel(R) Xeon(R) X5570 a 2,93 GHz (máquina virtual) |
Póngase en contacto con los servicios de NetIQ |
||||
Almacenamiento |
|
|
50 GB |
||||
Memoria |
|
|
8 GB |
||||
Hardware de Agent Manager |
|||||||
CPU |
|
No corresponde (solo recopilación sin agentes) |
Dos Intel Xeon 5140 a 2,33 GHz (2 núcleos por CPU; 4 núcleos en total) |
No corresponde (solo recopilación sin agentes) |
Póngase en contacto con los servicios de NetIQ |
||
Almacenamiento |
|
2 SAS de 300 GB a 10000 RPM (RAID 0, tamaño de franja 128k) |
|
||||
Memoria |
|
|
16 GB |
|
|||
Hardware de motor de correlación remoto |
|||||||
CPU |
|
No corresponde (solo CE integrado local) |
Póngase en contacto con los servicios de NetIQ |
||||
Almacenamiento |
|
|
|||||
Memoria |
|
|
|||||
Recopilación de datos |
|||||||
Distribución de gestores de recopiladores (CM) |
El número de orígenes de eventos y la carga de eventos por segundo asignada a cada gestor de recopiladores. El porcentaje filtrado indica cuántos eventos normalizados se filtraron inmediatamente después de la recopilación, sin almacenarse o trasladarse a motores de análisis. Tenga en cuenta que los datos del registro en bruto no normalizados en los que se basan los eventos normalizados no se ven afectados por el filtrado y siempre se almacenan. El gestor de recopiladores (CM) integrado local está ubicado en el equipo del servidor Sentinel. |
CM integrado local Orígenes de eventos: 101 EPS: 100 Filtrados: 0% |
CM integrado local Orígenes de eventos: 2500 EPS: 2500 Filtrados: 0% |
CM integrado local Orígenes de eventos: 5000 EPS: 2500 Filtrados: 0% |
CM integrado local Orígenes de eventos: 500 EPS: 9000 Filtrados: 0% |
CM integrado local No se utiliza CM remoto n.º 1 Orígenes de eventos: 110 EPS: 9500 Filtrados: 21% Datos en bruto inhabilitados CM remoto n.º 2 Orígenes de eventos: 20 EPS: 6500 Filtrados: 54% Datos en bruto inhabilitados |
Póngase en contacto con los servicios de NetIQ |
Recopiladores utilizados |
IBM AIX 6.1r3 Orígenes: 100 EPS: 99 NetIQ Universal Event 2011.1r1 Orígenes: 1 EPS: 1 |
Cada recopilador tenía su propio servidor syslog. Oracle Solaris 6.1r3 Orígenes: 1000 EPS: 1000 IBM AIX 6.1r3 Orígenes: 1000 EPS: 1000 Sourcefire Snort 2011.1r1 Orígenes: 500 EPS:500 |
Recopilador de prueba personalizado (sin análisis) Agent Manager Connector Server 1 Orígenes: 5000 EPS: 2500 |
Cada uno de los siguientes recopiladores tenía su propio servidor syslog, que analizaba el siguiente número de EPS: Oracle Solaris 6.1r3 EPS: 2000 Sourcefire Snort 2011.1r1 EPS: 1500 NetIQ Universal Event 2011.1r1 EPS: 2000 Juniper Netscreen Series 2011.1r1 EPS: 1500 IBM AIX 6.1r3: 2000 EPS: 2000 |
Cada uno de los siguientes recopiladores tenía su propio servidor syslog, que analizaba el siguiente número de EPS: Oracle Solaris 6.1r3 RCM n.º 1: 2000 RCM n.º 2: 2000 Sourcefire Snort 2011.1r1 RCM n.º 1: 2000 RCM n.º 2: 2000 NetIQ Universal Event 2011.1r1 RCM n.º 1: 2000 RCM n.º 2: 0 Juniper Netscreen Series 2011.1r1 RCM n.º 1: 2000 RCM n.º 2: 1500 |
Póngase en contacto con los servicios de NetIQ |
|
|
|
|
|
|
|
IBM AIX 6.1r3 RCM n.º 1: 1500 RCM n.º 2: 0 IBM iSeries 2011.1r3 RCM n.º 1: 0 RCM n.º 2: 2000 |
Póngase en contacto con los servicios de NetIQ |
Total |
Origen de eventos: 101 EPS: 100 Filtrados: 0% |
Origen de eventos: 2500 EPS: 2500 Filtrados: 0% |
Origen de eventos: 5000 EPS: 2500 Filtrados: 0% |
Origen de eventos: 500 EPS: 9000 Filtrados: 0% |
Origen de eventos: 130 EPS operativos: 16000 EPS conservados: 11000 Filtrados: 25% |
||
Almacenamiento de datos |
|||||||
¿Hasta qué punto del pasado los usuarios buscarán datos con regularidad? |
Cantidad de datos almacenados en caché local para mejorar el rendimiento de búsqueda. |
7 días |
Póngase en contacto con los servicios de NetIQ |
||||
¿Qué porcentaje de búsquedas corresponderá a datos anteriores al número de días de indicado arriba? |
Afecta a la cantidad de operaciones de entrada/salida por segundo (IOPS) en el almacenamiento local o en red. |
10% |
|||||
¿Hasta qué punto en el pasado se conservarán los datos? |
Afecta a la cantidad de espacio en el disco que se necesita para conservar todos los datos. Si está habilitado el almacenamiento en red, esto afectará al tamaño de almacenamiento en red necesario. De lo contrario, afectará al tamaño del almacenamiento local necesario. |
14 días |
|||||
¿Habrá un dispositivo de almacenamiento en red disponible y conectado? |
Afecta a si todos los datos se almacenarán a nivel local o si hay disponible un almacenamiento en red para almacenar datos en línea de forma económica a largo plazo. Los datos del almacenamiento en red se conservan en línea. |
No |
Póngase en contacto con los servicios de NetIQ |
||||
¿Cuántos informes se optimizarán mediante resúmenes y otras directivas de sincronización de datos? |
Afecta al número de directivas de sincronización de datos, lo que incide en el tamaño y el número de IOPS del almacenamiento local. |
5 (predefinidas) |
4 (predefinidas excepto el RDD de resumen de orígenes, que se demora) |
||||
Actividad de usuarios |
|||||||
¿Qué promedio de usuarios estarán activos al mismo tiempo? |
Afecta al número de IOPS de almacenamiento local y en red y otros elementos. |
1 |
Póngase en contacto con los servicios de NetIQ |
||||
¿Cuántas búsquedas, en promedio, realizará un usuario activo a la vez? |
Afecta al número de IOPS de almacenamiento local y en red. |
1 búsqueda o un informe (pero no ambos a la vez) 20000 eventos por informe, 100 millones de eventos por búsqueda |
No se ha probado con carga de búsqueda o generación de informes |
1 80 millones de eventos por búsqueda |
1 20 millones de eventos por búsqueda |
||
¿Cuántos informes, en promedio, ejecutará un usuario activo a la vez? |
Afecta al número de IOPS de almacenamiento local y en red. |
1 búsqueda o un informe (pero no ambos a la vez) 20000 eventos por informe, 100 millones de eventos por búsqueda |
No se ha probado con carga de búsqueda o generación de informes |
1 1000 eventos por informe |
1 60000 eventos por informe |
||
Análisis |
|||||||
¿Qué porcentaje promedio de datos del evento es relevante con respecto a las reglas de correlación? |
Cantidad de datos que procesará el motor de correlación. |
100% (predefinidas) (3 correlaciones por segundo) |
100% (predefinidas) (0 correlaciones por segundo) |
0% |
0% (algunos datos se reciben demasiado tarde para la correlación en tiempo real) |
Póngase en contacto con los servicios de NetIQ |
|
¿Cuántas reglas de correlación sencillas (solo filtros/activadores) se utilizarán? |
Afecta a la utilización de la CPU por el motor de correlación. |
84 (predefinidas) |
0 |
Póngase en contacto con los servicios de NetIQ |
|||
¿Cuántas reglas de correlación complejas se utilizarán? |
Afecta a la utilización de la CPU y la memoria por el motor de correlación. |
0 (predefinidas) |
|||||
Distribución del motor de correlación (CE) |
CE integrado local (todas las reglas) |
||||||
¿En cuántos conjuntos de datos se realizará la detección de anomalías? |
El número de consolas de Inteligencia de seguridad, que afecta a la CPU, el tamaño de almacenamiento local y la utilización de memoria. |
1 (1% de flujo de eventos en cada una) |
0 |
||||
Gran disponibilidad |
|||||||
Notes |
Funcionalidad destacada inhabilitada o advertencias cuando se excede la carga del sistema descrita anteriormente. |
Datos en bruto inhabilitados No se utiliza correlación ni Inteligencia de seguridad Los informes de más de 30000 eventos producen inestabilidad |
Datos en bruto inhabilitados No se utiliza la correlación ni Inteligencia de seguridad Los informes de más del número indicado de eventos producen inestabilidad El aumento de los EPS conservados producirá en última instancia inestabilidad en la configuración de este sistema |
Póngase en contacto con los servicios de NetIQ |