Por padrão, o servidor do Sentinel inclui os seguintes componentes:
Collector Manager: O Collector Manager oferece um ponto flexível para coleta de dados no Sentinel.
Correlation Engine: O Correlation Engine processa eventos do fluxo de eventos em tempo real para determinar se eles devem acionar qualquer uma das regras de correlação.
Elasticsearch: Um componente de armazenamento de dados opcional para armazenar e indexar dados. Por padrão, o Sentinel inclui um nó do Elasticsearch. Se você espera um EPS grande, mais de 2.500, deve implantar nós adicionais do Elasticsearch em um cluster.
IMPORTANTE:Em ambientes de produção, você deve configurar uma implantação distribuída porque ela isola os componentes de coleta de dados em um computador separado, o que é importante para lidar com picos e outras anomalias com a máxima estabilidade do sistema.
Esta seção descreve as vantagens das implantações distribuídas.
O servidor do Sentinel inclui um Collector Manager por padrão. No entanto, para ambientes de produção, instâncias do Collector Manager distribuídas fornecem um isolamento muito melhor quando grandes volumes de dados são recebidos. Nesse caso, um Collector Manager distribuído pode ficar sobrecarregado, mas o servidor do Sentinel continuará responsivo às solicitações dos usuários.
A instalação de mais de um Collector Manager em uma rede distribuída oferece as seguintes vantagens:
Melhor desempenho do sistema: As instâncias do Collector Manager adicionais podem analisar e processar dados de eventos em um ambiente distribuído, o que aumenta o desempenho do sistema.
Segurança de dados adicional e menores requisitos de largura de banda de rede: Se as instâncias do Collector Manager estiverem co-localizados com fontes de eventos, então a filtragem, criptografia e compactação de dados pode ser realizada na origem.
Cache de arquivos: As instâncias do Collector Manager remotos podem fazer cache de grandes quantidades de dados enquanto o servidor está temporariamente ocupado arquivando eventos ou processando um pico de eventos. Esse recurso é uma vantagem para protocolos que, como o syslog, não suportam o cache de eventos de forma nativa.
Você pode instalar as instâncias do Collector Manager adicionais nos locais adequados na rede. Essas instâncias remotas do Collector Manager executam Conectores e Coletores e encaminham os dados coletados ao servidor do Sentinel para armazenamento e processamento. Para obter informações sobre a instalação de instâncias do Collector Manager adicionais, consulte Seção III, Instalando o Sentinel.
NOTA:Não é possível instalar mais do que um Collector Manager em um único sistema. Você pode instalar instâncias adicionais do Collector Manager nos sistemas remotos, e conectá-las ao servidor do Sentinel.
Você pode implementar várias instâncias do Correlation Engine, cada qual em seu próprio servidor, sem precisar replicar configurações ou adicionar bancos de dados. Para ambientes com grandes números de regras de correlação ou taxas de evento extremamente altas, pode ser vantajoso instalar mais de um Correlation Engine e reimplementar algumas regras no novo Correlation Engine. Várias instâncias do Correlation Engine fornecem a capacidade de escalar à medida que o sistema Sentinel incorpora fontes de dados adicionais ou à medida que as taxas de evento aumentam. Para obter informações sobre como instalar instâncias do Correlation Engine adicionais, veja Seção III, Instalando o Sentinel.
NOTA:Não é possível instalar mais do que um Correlation Engine em um único sistema. Você pode instalar instâncias adicionais do Correlation Engine nos sistemas remotos, e conectá-los ao servidor do Sentinel.