18.1 L'orario in Sentinel

Sentinel è un sistema distribuito e consiste in diversi processi che possono essere realizzati in varie parti della rete. L'origine eventi potrebbe inoltre indurre alcuni ritardi. Per gestire al meglio tale situazione, prima dell'elaborazione i processi di Sentinel riordinano gli eventi in un flusso organizzato in base all'orario.

Per ogni evento sono disponibili tre campi:

  • Orario evento: orario dell'evento utilizzato da tutti i motori di analisi, le ricerche, i rapporti e così via.

  • SentinelProcessTime: orario in cui Sentinel ha acquisito i dati dal dispositivo e derivante dall'orario di sistema di Collector Manager.

  • ObserverEventTime: registrazione dell'orario che il dispositivo inserisce nei dati. Non sempre i dati contengono una registrazione dell'orario affidabile ed essa potrebbe essere notevolmente diversa dall'orario di SentinelProcessTime, ad esempio quando il dispositivo fornisce i dati in batch.

Nell'illustrazione seguente si descrive come Sentinel esegue questa operazione in una configurazione con memorizzazione tradizionale:

Figura 18-1 Orario Sentinel

  1. Per default, il campo EventTime è impostato sul valore di SentinelProcessTime. La condizione ideale è quella in cui EventTime corrisponde a ObserverEventTime, qualora esso sia disponibile e affidabile. È consigliabile configurare la raccolta dati su Ora origine evento di fiducia, qualora l'orario del dispositivo sia disponibile, accurato e analizzato sintatticamente nel modo adeguato dal servizio di raccolta. Il servizio di raccolta imposta EventTime affinché corrisponda a ObserverEventTime.

  2. Gli eventi con EventTime compreso entro un intervallo di 5 minuti precedenti o successivi all'orario del server vengono elaborati normalmente dalle viste eventi. Gli eventi con EventTime oltre i 5 minuti successivi non vengono visualizzati nelle viste eventi, ma inseriti nella memorizzazione eventi. Gli eventi con EventTime oltre i 5 minuti successivi e meno di 24 ore precedenti vengono comunque mostrati nei grafici, ma non sono visualizzati nei dati degli eventi di tali grafici. Per recuperare quegli eventi dalla memorizzazione eventi, è necessario eseguire il drill-down.

  3. Gli eventi vengono ordinati in intervalli di 30 secondi, affinché possano essere elaborati dall'istanza di Correlation Engine in ordine cronologico. Se EventTime è anteriore a 30 secondi rispetto all'orario del server, l'istanza di Correlation Engine non elabora gli eventi.

  4. Se EventTime è anteriore a 5 minuti rispetto all'orario di sistema di Collector Manager, gli eventi vengono direttamente instradati alla relativa memorizzazione, ignorando i sistemi in tempo reale quali Correlation Engine e Security Intelligence.