18.1 Entendendo o horário no Sentinel

O Sentinel é um sistema distribuído, composto por vários processos distribuídos por toda a sua rede. Além disso, podem ocorrer certos atrasos introduzidos pela fonte de eventos. Para lidar com essa situação, os processos do Sentinel reordenam os eventos em um fluxo ordenado por horários antes de realizar o processamento.

Todo evento tem três campos de horário:

  • Horário do evento: o horário de evento usado por todos os mecanismo de análise, pesquisa, relatórios, etc.

  • Horário de processamento do Sentinel: o horário em que o Sentinel coleta os dados do dispositivo, obtido a partir do horário de sistema do Collector Manager.

  • Horário do evento do observador: a marcação de horário que o dispositivo coloca nos dados. O dados nem sempre podem conter uma marcação de horário confiável e podem ser bem diferentes do Horário de processamento do Sentinel. Por exemplo, quando o dispositivo entrega dados em lotes.

A ilustração seguinte explica como o Sentinel faz isso em uma configuração de armazenamento tradicional:

Figura 18-1 Horário do Sentinel

  1. Por padrão, o Horário do evento é definido para o Horário de processamento do Sentinel. O ideal, no entanto, é que o Horário do evento corresponda ao Horário do evento do observador, caso esse esteja disponível e seja confiável. É melhor configurar a coleta de dados para Horário da fonte de eventos confiável caso o horário do dispositivo estiver disponível, for preciso e devidamente analisado pelo Coletor. O Coletor ajusta o Horário do evento para corresponder ao Horário do evento do observador.

  2. Os eventos que possuem Horários de evento com variações de até 5 minutos em relação ao horário do servidor (para passado ou futuro) são processados normalmente pelas Visualizações de Eventos. Os eventos que possuem Horários de evento com mais de 5 minutos no futuro não são exibidos nas Visualizações de Eventos, mas são inseridos no armazenamento de eventos. Eventos com Horários de evento mais de 5 minutos no futuro e menos de 24 horas no passado ainda são exibidos nos gráficos, mas não são exibidos nos dados de evento para o gráfico em questão. Uma operação de detalhamento é necessária para recuperar esses eventos do armazenamento de eventos.

  3. Os eventos são organizados em intervalos de 30 segundos de modo que o Correlation Engine possa processá-los em ordem cronológica. Se o Horário do evento for mais de 30 segundos mais antigo do que o horário do servidor, o Correlation Engine não processará os eventos.

  4. Se o Horário do evento estiver mais de 5 minutos atrás em relação ao horário do sistema do Gerenciador de Coletor, o Sentinel fará roteamento direto dos eventos para o armazenamento de eventos, ignorando sistemas em tempo real, como o Correlation Engine e a Inteligência de Segurança.