18.1 Sentinelにおける時刻について

Sentinelは、ネットワーク全体に分散するいくつものプロセスで構成される分散システムです。また、イベントソースによって多少の遅延が発生する可能性があります。これに対応するために、Sentinelプロセスは、イベントを処理する前に、イベントを時間順に並び替えます。

どのイベントにも3つの時刻フィールドがあります。

  • イベント時刻: これは、すべての分析エンジン、検索、レポートなどで使用されるイベント時刻です。

  • Sentinel処理時刻: Sentinelがデバイスからデータを収集した時刻で、この時刻はCollector Managerのシステム時間から取得されます。

  • オブザーバイベント時刻: デバイスがデータに書き込んだタイムスタンプ。データに書き込まれたタイムスタンプは必ずしも信頼できるとは限らず、Sentinel処理時刻と大きく異なっていることもあります。たとえば、デバイスがデータをバッチ処理で送信するとします。

次の図は、従来のストレージのセットアップでSentinelがこれを処理する方法を説明します。

図 18-1 Sentinelの時刻

  1. デフォルトでは、イベント時刻はSentinel処理時刻に設定されます。しかし、オブザーバイベント時刻を利用でき、それが信頼に値するのであれば、イベント時刻がオブザーバイベント時刻と一致するのが理想的です。デバイス時刻を利用でき、正確で、コレクタが正しく解析できるのであれば、データ収集を[信頼イベントソース時刻]に設定するのが最善です。コレクタは、オブザーバイベント時刻に合うようにイベント時刻を設定します。

  2. イベント時刻がサーバ時刻の前後5分以内であるイベントは、イベントビューによって普通に処理されます。イベント時刻が5分よりも先に進んでいるイベントは、イベントビューには表示されませんが、イベントストアには挿入されます。イベント時刻が5分以上進んでいるイベントと過去24時間以内のイベントは、チャートには表示されますが、チャートのイベントデータには表示されません。これらのイベントをイベントストアから取得するには、ドリルダウン操作が必要です。

  3. Correlation Engineはイベントを時間順に処理することができるように、イベントは30秒間隔でソートされます。イベント時刻がサーバ時刻よりも30秒を超えて古い場合、Correlation Engineはイベントを処理しません。

  4. イベント時刻がCollector Managerシステム時刻から5分を超えて古い場合、Sentinelはイベントを直接イベントストアにルーティングし、Correlation Engineおよびセキュリティインテリジェンスなどのリアルタイムシステムはバイパスします。