NetIQ supporta Sentinel sui sistemi operativi descritti in questa sezione. NetIQ supporta Sentinel anche sui sistemi che dispongono di aggiornamenti secondari per tali sistemi operativi, come patch sulla sicurezza o correzioni HotFix. Tuttavia, l'esecuzione di Sentinel sui sistemi che dispongono di aggiornamenti primari per tali sistemi operativi non sarà supportata fino a quando NetIQ non abbia eseguito le verifiche e le certificazioni necessarie per tali aggiornamenti.
Il server Sentinel, Gestione servizi di raccolta e il motore di correlazione sono supportati sui sistemi operativi e sulle piattaforme seguenti:
|
Categoria |
Requisito |
|---|---|
|
Sistema operativo |
Sentinel è supportato sui sistemi operativi seguenti:
* Sentinel 7 non è supportato nelle installazioni Open Enterprise Server di SLES. |
|
Piattaforma virtuale |
NetIQ fornisce delle applicazioni che consentono l'installazione di un server SLES 11 SP1 a 64 bit e di Sentinel sulle piattaforme virtuali seguenti:
|
|
ISO DVD |
NetIQ fornisce un file ISO DVD che consente l'installazione di SLES 11 SP1 a 64 bit e di Sentinel su:
|
Le istruzioni relative alla configurazione hardware suggerite possono variare in base alla singola implementazione. Quindi, prima di finalizzare l'architettura Sentinel, consultare i NetIQ Consulting Services o qualsiasi partner NetIQ Sentinel.
In questa sezione è elencato l'hardware suggerito per un sistema di produzione che conservi i dati online per 90 giorni. Tali indicazioni si basano su una dimensione media presunta degli eventi di 600 byte. Le indicazioni per la memorizzazione locale e in rete includono un buffer del 20% oltre le stime di memorizzazione attuali. NetIQ suggerisce di creare un buffer per eventuali imprecisioni nelle stime o incremento del carico dei server nel corso del tempo.
Per eseguire il server Sentinel con tutti i componenti di Sentinel installati in un unico server, utilizzare il seguente hardware suggerito:
|
Categoria |
100 EPS |
2500 EPS |
5000 EPS |
|---|---|---|---|
|
CPU |
Un Intel Xeon X5570 da 2,93 GHz (CPU a 4 core) |
Due Intel Xeon X5470 3,33 GHz (CPU a 4 core, in totale: 8 core) |
Due Intel Xeon X5470 3,33 GHz (CPU a 4 core, in totale: 8 core) |
|
Memorizzazione locale (30 giorni) |
2 unità da 256 GB a 7,2k RPM (hardware RAID 1 con 256 MB di cache) |
8 unità da 1,2 TB a 7,2k RPM (hardware RAID 10 con 256 MB di cache) |
16 unità da 1,2 TB a 15k RPM, (hardware RAID 10 con 512 MB di cache) o una SAN (Storage Area Network) equivalente |
|
Memorizzazione in rete (90 giorni) |
2x128 GB |
4x1 TB |
8x1 TB |
|
Memoria |
Altre installazioni: 4 GB Installazione ISO DVD: 4.5 GB |
16 GB |
24 GB |
NOTA:Sentinel è supportato su processori Intel Xeon e AMD Opteron x86 a 64 bit ma non su processori a 64 bit puri come, ad esempio, Itanium.
Per una prestazione ottimale del sistema, seguire le linee guida seguenti:
La memorizzazione locale deve disporre di spazio a sufficienza per conservare i dati relativi ad almeno 5 giorni, inclusi i dati evento e i dati non elaborati. Per ulteriori informazioni sul calcolo dei requisiti per la memorizzazione dei dati, consultare Sezione 1.1.5, Stima relativa ai requisiti per la memorizzazione dei dati.
La memorizzazione in rete contiene tutti i dati relativi ai 90 giorni, oltre a una copia compressa dei dati evento presenti nella memorizzazione locale. Una copia dei dati evento viene conservata nella memorizzazione locale per l'esecuzione delle ricerche e la generazione dei rapporti. Qualora il costo della memorizzazione sia fattore di cui tenere specialmente considerazioni, è sempre possibile ridurre le dimensioni della memorizzazione locale. Tuttavia, a causa dell'overhead relativo alla decompressione, vi sarà una diminuzione stimata del 70% della prestazione relativa all'esecuzione delle ricerche e alla generazione dei rapporti sui dati che risiederebbero, altrimenti, nella memorizzazione locale.
È necessario configurare l'ubicazione della memorizzazione in rete in una SAN (Storage Area Network) o NAS (Network Attached Storage) esterna dotata di più unità.
Il volume dello stato stazionario consigliato è pari all'80% del numero massimo di EPS concessi in licenza. Nell'eventualità che venga raggiunto questo limite, NetIQ consiglia di installare ulteriori istanze di Sentinel
Per eseguire la Gestione servizi di raccolta su un sistema diverso da quello in cui è in esecuzione il server Sentinel in un ambiente di produzione, utilizzare i requisiti hardware seguenti:
|
Categoria |
Minimo |
Soluzione proposta |
|---|---|---|
|
CPU |
Intel Xeon L5240 da 3 GHz (2 core) |
Un Intel Xeon X5570 da 2,93 GHz (CPU a 4 core) |
|
Spazio su disco |
10 GB (RAID 1) |
20 GB (RAID 1) |
|
Memoria |
1.5 GB |
4 GB |
|
Frequenza stimata (EPS) |
500 |
2000 |
Per eseguire il motore di correlazione su un sistema diverso da quello in cui è in esecuzione il server Sentinel in un ambiente di produzione, utilizzare i requisiti di sistema seguenti:
|
Categoria |
Minimo |
Soluzione proposta |
|---|---|---|
|
CPU |
Intel Xeon L5240 da 3 GHz (2 core) |
Un Intel Xeon X5570 da 2,93 GHz (CPU a 4 core) |
|
Spazio su disco |
10 GB (RAID non richiesto) |
10 GB (RAID non richiesto) |
|
Memoria |
1.5 GB |
4 GB |
|
Frequenza stimata (EPS) |
500 |
2500 |
In Sentinel sono inclusi un sistema di memorizzazione basato su file incorporato e un database, che rappresentano tutto quanto è necessario per eseguire Sentinel. Tuttavia, se si desidera utilizzare la funzione di sincronizzazione dei dati facoltativa per copiare i dati in un archivio dati, Sentinel supporta l'utilizzo di Oracle versione 11g R2 o Microsoft SQL Server 2008 R2 come archivio dati.
L'interfaccia Web di Sentinel è stata ottimizzata per la visualizzazione a una risoluzione pari a 1280 x 1024 o maggiore nei seguenti browser supportati:
NOTA:Per caricare le applicazioni del client Sentinel nel modo più appropriato, è necessario che il plug-in Sun Java sia installato sul computer.
|
Piattaforma |
Browser |
|---|---|
|
Windows 7 |
Per informazioni relative a Internet Explorer 8, vedere Prerequisiti per Internet Explorer. |
|
SLES 11 SP1 e RHEL 6 |
Per ulteriori informazioni, vedere Aggiornamento manuale della versione di Firefox. |
Se il livello di sicurezza per Internet è impostato su Alto, una volta effettuato il login a Sentinel viene visualizzata una pagina vuota e la finestra popup del download dei file potrebbe essere bloccata dal browser. Per risolvere questo problema, è necessario prima impostare il livello di sicurezza su Medio-alto, quindi modificare il livello Personalizzato nel modo seguente:
Andare a e impostare il livello di sicurezza su .
Assicurarsi che l'opzione non sia selezionata.
Andare a , quindi scorrere fino alla sezione e selezionare nell'opzione .
Sentinel supporta Firefox dalla versione 5 alla 10; tuttavia il sistema SLES 11 SP1 viene fornito con Firefox versione 3.6X. Per aggiornare manualmente un'installazione di SLES 11 SP1 con una versione supportata di Firefox, eseguire la procedura seguente:
Aprire YaST.
Selezionare > per visualizzare la finestra Configured Software Repositories (Archivi software configurati).
Fare clic su per aprire la finestra Tipo di supporto.
Selezionare l'opzione , quindi fare clic su .
Viene visualizzata la finestra Repository URL (URL archivio).
Immettere il collegamento Software Repository (Archivio software) nella casella di testo URL, quindi fare clic su .
Il download dell'archivio software è stato completato.
Fare clic su per aggiornare l'archivio software.
Fare clic su per aprire la finestra YaST2.
Immettere Firefox nella casella di testo .
Vengono visualizzati i pacchetti di Firefox.
Selezionare i pacchetti necessari per la versione supportata di Firefox che si desidera installare.
Se si seleziona un pacchetto in conflitto con la versione esistente, viene visualizzata una finestra di avviso. Selezionare l'opzione appropriata, quindi fare clic sul pulsante .
Fare clic su .
Sentinel viene utilizzato per conservare i dati non elaborati per un lungo periodo di tempo, in modo da poter soddisfare i requisiti legali e di altro tipo. Sentinel sfrutta la tecnologia di compressione per facilitare un utilizzo più efficace dello spazio di memorizzazione disponibile sia localmente che in rete. Tuttavia, su un lungo periodo di tempo i requisiti relativi alla memorizzazione potrebbero divenire significativi.
Per superare tutti i problemi relativi ai vincoli di costo per sistemi di memorizzazione dei dati, è possibile utilizzare dei sistemi per la memorizzazione dei dati a lungo termine più economici. I sistemi di memorizzazione basati su nastro rappresentano la soluzione più comune e conveniente. Tuttavia, il supporto su nastro non consente l'accesso casuale ai dati memorizzati, necessario per elaborare ricerche più rapide. Per questo motivo, è preferibile un approccio misto alla memorizzazione dei dati a lungo termine, in cui i dati che si desidera ricercare siano disponibili in un sistema di memorizzazione ad accesso casuale mentre i dati che si desidera conservare, ma non ricercare, siano conservati mediante una soluzione alternativa e conveniente, come un dispositivo su nastro. Per le istruzioni relative all'impiego di questo approccio misto, consultare Using Sequential-Access Storage for Long Term Data Storage (Utilizzo della memorizzazione ad accesso sequenziale per la memorizzazione dei dati a lungo termine)
nella NetIQ Sentinel 7.0.1 Administration Guide (Guida all'amministrazione di NetIQ Sentinel 7.0.1).
Per determinare la quantità di spazio di memorizzazione ad accesso casuale necessario per Sentinel, valutare prima la quantità di giorni di dati sui quali è necessario effettuare ricerche o eseguire rapporti su base periodica. Per l'archiviazione dei dati, è necessario disporre di una quantità sufficiente di spazio su disco localmente sul computer in cui è installato Sentinel oppure in modalità remota sul protocollo Server Message Block (SMB) o CIFS, nel Network File System (NFS) oppure in una SAN per Sentinel
Oltre ai requisiti minimi, è necessario disporre anche del seguente spazio aggiuntivo su disco rigido:
Per rendere conto delle frequenze dati che sono più elevate del previsto.
Per copiare i dati dal nastro e inviarli nuovamente a Sentinel per l'elaborazione delle ricerche e la generazione dei rapporti sui dati presenti nella cronologia.
Utilizzare le seguenti formule per valutare la quantità di spazio necessario per la memorizzazione dei dati:
Memorizzazione eventi locale (parzialmente compressi): {dimensione media in byte per evento} x {numero di giorni} x {eventi al secondo} x 0.00008 = totale GB di memorizzazione necessari
Generalmente, le dimensioni dell'evento variano dai 300 ai 1000 byte.
Memorizzazione eventi in rete (completamente compressi): {dimensione media in byte per evento} x {numero di giorni} x {eventi al secondo} x 0.00001 = totale GB di memorizzazione necessari
Memorizzazione dati non elaborati (completamente compressi sia nella memorizzazione locale e che nella memorizzazione in rete): {dimensione media in byte per record dei dati non elaborati} x {numero di giorni} x {eventi al secondo} x 0.000003 = totale GB di memorizzazione necessari
Generalmente, la dimensione media dei dati non elaborati per i messaggi syslog è pari a 200 byte.
Dimensione totale della memorizzazione locale (con memorizzazione in rete abilitata): {dimensioni memorizzazione eventi locale per il numero di giorni desiderato} + {dimensione memorizzazione dati non elaborati per un giorno) = totale GB di memorizzazione necessari
Se è stata abilitata la memorizzazione in rete, generalmente i dati evento vi vengono copiati dopo due giorni. Per ulteriori informazioni, consultare Configurazione della memorizzazione dei dati
nella NetIQ Sentinel 7.0.1 Administration Guide (Guida all'amministrazione di NetIQ Sentinel 7.0.1).
Dimensione totale della memorizzazione locale (con memorizzazione in rete disabilitata): {dimensioni memorizzazione eventi locale per periodo di permanenza} + {dimensioni memorizzazione dati non elaborati per periodo di permanenza) = totale GB di memorizzazione necessari
Dimensione totale della memorizzazione in rete: {dimensioni memorizzazione eventi in rete per periodo di permanenza} + {dimensioni memorizzazione dati non elaborati per periodo di permanenza) = totale GB di memorizzazione necessari
NOTA:
I coefficienti in ogni formula rappresentano ((secondi al giorno) x (GB per byte) x rapporto di compressione).
I numeri rappresentano solo una stima. Essi dipendono dalle dimensioni dei dati evento e dalle dimensioni dei dati compressi.
Parzialmente compressi significa che vengono compressi solo i dati, mentre il loro indice non viene compresso. Completamente compressi significa che vengono compressi sia i dati evento che i dati dell'indice. Generalmente, i rapporti di compressione dei dati evento sono 10:1. Generalmente, i rapporti di compressione dell'indice sono 5:1. L'indice viene utilizzato per ottimizzare l'esecuzione delle ricerche tra i dati.
È possibile utilizzare anche le formule riportate sopra per determinare la quantità di spazio di memorizzazione necessario per un sistema di memorizzazione dei dati a lungo termine come, ad esempio, un'unità nastro.
Utilizzare le formule seguenti per valutare la quantità di utilizzo del disco sul server in base a varie frequenze EPS.
Dati scritti sul disco (kilobyte al secondo): (dimensione media degli eventi in byte + dimensione media dei dati non elaborati in byte) x (eventi al secondo) x coefficiente di compressione pari a .002 = dati scritti al secondo sul disco
Ad esempio, a 500 EPS, per una dimensione media degli eventi pari a 758 byte e una dimensione media dei dati non elaborati pari a 490 byte nel file di log, i dati scritti sul disco vengono determinati nel modo seguente:
(758 byte + 490 byte) x 500 EPS x .002 = ~1100 KB
Numero di richieste I/O per il disco (trasferimenti al secondo): (dimensione media degli eventi in byte + dimensione media dei dati non elaborati in byte) x (eventi al secondo) x coefficiente di compressione pari a .00002 = richieste I/O al secondo per il disco
Ad esempio, a 500 EPS, per una dimensione media degli eventi pari a 758 byte e una dimensione media dei dati non elaborati pari a 490 byte nel file di log, il numero di richieste I/O al secondo per il disco viene determinato nel modo seguente:
(758 byte + 490 byte) x 500 EPS x .00002 = ~10 trasferimenti al secondo
Numero di blocchi scritti al secondo sul disco: (dimensione media degli eventi in byte + dimensione media dei dati non elaborati in byte) x (eventi al secondo) x coefficiente di compressione pari a .003 = blocchi scritti al secondo sul disco
Ad esempio, a 500 EPS, per una dimensione media degli eventi pari a 758 byte e una dimensione media dei dati non elaborati pari a 490 byte nel file di log, il numero di blocchi scritti al secondo sul disco viene determinato nel modo seguente:
(758 byte + 490 byte) x 500 EPS x .003 = ~1800 blocchi al secondo
Dati letti al secondo dal disco durante l'esecuzione di una ricerca: (dimensione media degli eventi in byte + dimensione media dei dati non elaborati in byte) x (numero di eventi corrispondenti all'interrogazione in milioni) x coefficiente di compressione pari a .40 = kilobyte letti al secondo dal disco
Ad esempio, a 5 milioni di eventi corrispondenti all'interrogazione della ricerca, per una dimensione media degli eventi pari a 758 byte e una dimensione media dei dati non elaborati pari a 490 byte nel file di log, il numero di dati letti al secondo sul disco viene determinato nel modo seguente:
(758 byte + 490 byte) x 5 x .40 = ~500 KB
Utilizzare le seguenti formule per valutare l'utilizzo della larghezza di banda di rete tra il server Sentinel e la Gestione servizi di raccolta remota a varie frequenze EPS:
{dimensione media degli eventi in byte + dimensione media dei dati non elaborati in byte} x {eventi al secondo} x coefficiente di compressione pari a .0003 = larghezza di banda della rete in Kbps (kilobit al secondo)
Ad esempio, a 500 EPS, per una dimensione media degli eventi pari a 758 byte e una dimensione media dei dati non elaborati pari a 490 byte nel file di log, l'utilizzo della larghezza di banda della rete viene determinato nel modo seguente:
(758 byte + 490 byte) x 500 EPS x .0003 = ~175 Kbps
Sentinel è stato ampiamente verificato ed è totalmente supportato in un server VMware ESX. Quando viene configurato un ambiente virtuale, le macchine virtuali devono disporre di almeno 2 CPU. Per ottenere prestazioni paragonabili ai risultati delle prove del computer fisico svolte su ESX o in qualsiasi altro ambiente virtuale, quest'ultimo deve disporre della stessa memoria, CPU, spazio su disco e I/O consigliati per il computer fisico.
Per ulteriori informazioni sui consigli relativi al computer fisico, consultare Sezione 1.1, Requisiti di sistema e piattaforme supportate.