Nel server Sentinel sono inclusi di default i componenti seguenti:
Collector Manager: flessibile punto di raccolta dei dati utilizzato da Sentinel.
Correlation Engine: elabora gli eventi contenuti nel flusso in tempo reale per stabilire se devono attivare una o più delle regole di correlazione.
Elasticsearch: componente opzionale per memorizzare e indicizzare i dati. Sentinel include di default un nodo Elasticsearch. Se si prevede un elevato numero di EPS, superiore, ad esempio, ai 2500, è necessario installare nodi Elasticsearch aggiuntivi in un cluster.
IMPORTANTE:per gli ambienti di produzione, si consiglia di configurare un'installazione distribuita poiché consente di raggruppare i componenti di raccolta dati in un computer separato, permettendo così di gestire picchi e altre anomalie preservando la massima stabilità del sistema.
In questa sezione sono descritti i vantaggi delle installazioni distribuite.
Nel server Sentinel è inclusa di default un'istanza di Collector Manager. Tuttavia, negli ambienti di produzione le istanze distribuite di Collector Manager garantiscono un migliore isolamento in caso di ricezione di grandi quantità di dati. Con questa configurazione, una delle istanze distribuite di Collector Manager potrebbe andare in sovraccarico, ma il server Sentinel continuerebbe comunque a rispondere alle richieste dell'utente.
L'installazione di più istanze di Collector Manager in una rete distribuita apporta i vantaggi seguenti:
Miglioramento della prestazione del sistema: le istanze aggiuntive di Collector Manager consentono di analizzare sintatticamente ed elaborare i dati degli eventi in un ambiente distribuito, incrementando così le prestazioni del sistema.
Una maggiore protezione dei dati e la richiesta di una larghezza di banda di rete più ridotta: Se le istanze di Collector Manager vengono posizionate insieme alle origini evento, i processi di filtraggio, cifratura e compressione dei dati possono essere elaborati su lato origine.
Memorizzazione dei file nella cache: le istanze aggiuntive di Collector Manager permettono di memorizzare una grande quantità di dati nella cache mentre il server è temporaneamente occupato nell'archiviazione degli eventi o nell'elaborazione di un picco negli eventi. Questa funzione rappresenta un vantaggio per i protocolli come syslog, che non supportano la memorizzazione nella cache degli eventi a livello nativo.
È possibile installare istanze aggiuntive di Collector Manager in ubicazioni appropriate della rete. Le istanze remote di Collector Manager eseguono connettori e servizi di raccolta, quindi inoltrano i dati raccolti al server Sentinel affinché vengano memorizzati ed elaborati. Per informazioni sull'installazione di ulteriori istanze di Collector Manager, vedere la Sezione III, Installazione di Sentinel.
NOTA:in un sistema è possibile installare più istanze di Collector Manager. Le istanze aggiuntive di Collector Manager possono essere installate in sistemi remoti e successivamente connesse al server Sentinel.
È possibile installare istanze multiple di Correlation Engine, ognuna sul proprio server, senza dover replicare le configurazioni o aggiungere database. Per ambienti con un numero elevato di regole di correlazione o frequenze eventi molto elevate, risulta particolarmente vantaggioso installare più istanze di Correlation Engine e ridistribuire alcune regole sulle nuove istanze. Le istanze multiple di Correlation Engine offrono la scalabilità necessaria a far fronte a nuove origini di dati o all'aumento delle frequenze eventi del sistema Sentinel. Per informazioni sull'installazione di istanze aggiuntive di Correlation Engine, consultare Sezione III, Installazione di Sentinel.
NOTA:in un sistema è possibile installare una sola istanza di Correlation Engine. Le istanze aggiuntive di Correlation Engine possono essere installate in sistemi remoti e successivamente connesse al server Sentinel.