Sentinel 实现可能因环境需要而异,因此,在最终确定 Sentinel 体系结构之前,您应该先咨询 NetIQ 咨询服务部门或任何 NetIQ Sentinel 合作伙伴。
本节提供的大小信息基于在 NetIQ 使用测试时提供给我们的硬件执行的测试。可能存在着功能更强大且可以处理更大负载的大型硬件配置。
一体机配置将所有处理负载都置于 Sentinel 服务器上,而不是将负载分配到远程收集器管理器和关联引擎。虽然一体机配置对于只以有限方式使用少部分功能的简单方案很管用,但在使用大量功能或以广泛方式使用时,它们不能很好地扩展。例如,如果您使用多个即用型关联规则,这会使系统上的负载增大,并可能导致同一服务器上的其他功能由于关联引擎的资源使用率增加而受到影响。
当使用的收集器不在少数时,需要将负载分配到远程收集器管理器。
当您使用多个即用型关联规则时,需要将负载分配到远程关联引擎。
当您计划增加要使用的功能数或以广泛方式使用时,分配负载不失为好主意。
事实证明,CPU 执行超线程的能力对系统可以处理的负载有着重大的积极影响。因此,在决定要购买哪种 CPU 时,一定要注意在下面的参照测试中是否启用了超线程,并确保您选择的 CPU 具有良好或较好的超线程功能。
类别 |
描述 |
演示一体机 不能用于生产 |
中型一体机 |
基于代理的中型数据收集 |
大型一体机 |
大型分布式无代理数据收集 |
特大型 |
---|---|---|---|---|---|---|---|
保留 EPS 功能 |
每秒事件数率由实时部件处理并由系统保留在储存中。 |
100 EPS |
2500 EPS |
2500 EPS |
9000 EPS |
11000 EPS |
11000+ EPS |
操作 EPS 功能 |
系统每秒从事件源收到的总事件数率。这包括在储存数据前由系统的智能过滤功能丢弃的数据,并且此数字用于基于 EPS 的许可证合规性目的。 |
100 EPS |
2500+ EPS |
2500+ EPS |
9000 EPS |
16000 EPS |
16000+ EPS |
Sentinel 服务器硬件 |
|||||||
CPU |
Intel Xeon CPU E5420 @ 2.50GHz(4 个 CPU 核),不带超线程功能 |
双 Intel Xeon CPU E5450 @ 3.00GHz(每个 CPU 4 个内核;共 8 个内核),不带超线程功能 |
双 AMD Opteron 2431 @ 2.40 GHz(每个 CPU 6 个内核;共 12 个内核) |
双 Intel(R) Xeon(R) CPU E5-2680 0 @ 2.70GHz(8 核)CPU(共 16 核),带超线程功能 |
联系 NetIQ 服务 |
||
本地存储 |
本地超速缓存数据,可提高搜索性能。 |
500 GB 7.2k RPM 驱动器 |
5 个 300 GB SAS 15k RPM(硬件 RAID 0) |
3 个 146 GB SAS 10K RPM(RAID 0,条带大小 128k) |
5 TB,8 个 600 GB SAS 15k RPM(硬件 RAID 0,条带大小 128k) |
||
网络储存 |
包括本地储存中的数据副本。 |
未用 |
未用 |
未用 |
未用 |
||
内存 |
4 GB |
24 GB |
16 GB |
64 GB |
|||
远程收集器管理器 # 1 硬件 |
|||||||
CPU |
不适用(仅限本地嵌入式 CM) |
双 Intel(R) Xeon(R) CPU E5-2680 0 @ 2.70GHz(8 核)CPU(共 16 核),带超线程功能 |
联系 NetIQ 服务 |
||||
储存 |
|
|
20 GB 可用空间 |
联系 NetIQ 服务 |
|||
内存 |
|
|
24 GB |
||||
远程收集器管理器 # 2 硬件 |
|||||||
CPU |
不适用(仅限本地嵌入式 CM) |
8 核 Intel(R) Xeon(R) CPU X5570 @ 2.93GHz(虚拟机) |
联系 NetIQ 服务 |
||||
储存 |
|
|
50 GB |
||||
内存 |
|
|
8 GB |
||||
代理管理器硬件 |
|||||||
CPU |
|
不适用(仅限无代理收集) |
双 Intel Xeon 5140 @ 2.33 GHz(每个 CPU 2 个内核;共 4 个内核) |
不适用(仅限无代理收集) |
联系 NetIQ 服务 |
||
储存 |
|
2 个 300 GB SAS 10K RPM(RAID 0,条带大小 128k) |
|
||||
内存 |
|
|
16 GB |
|
|||
远程关联引擎硬件 |
|||||||
CPU |
|
不适用(仅限本地嵌入式 CE) |
联系 NetIQ 服务 |
||||
储存 |
|
|
|||||
内存 |
|
|
|||||
数据收集 |
|||||||
收集器管理器 (CM) 分配 |
放置在每个收集器管理器上的事件源数和每秒事件数负载。 过滤百分比表示收集后立即过滤出多少规范化事件,而不进行储存或传递到分析引擎。请注意,这些规范化事件所基于的非规范化原始日志数据不受过滤影响,并始终储存。 本地嵌入式 CM 位于 Sentinel 服务器计算机上。 |
本地嵌入式 CM 事件源:101 EPS:100 已过滤:0% |
本地嵌入式 CM 事件源:2500 EPS:2500 已过滤:0% |
本地嵌入式 CM 事件源:5000 EPS:2500 已过滤:0% |
本地嵌入式 CM 事件源:500 EPS:9000 已过滤:0% |
本地嵌入式 CM 未用 远程 CM #1 事件源:110 EPS:9500 已过滤:21% 原始数据已禁用 远程 CM #2 事件源:20 EPS:6500 已过滤:54% 原始数据已禁用 |
联系 NetIQ 服务 |
已使用的收集器 |
IBM AIX 6.1r3 源:100 EPS:99 NetIQ Universal Event 2011.1r1 源:1 EPS:1 |
每个收集器都有自己的 syslog 服务器。 Oracle Solaris 6.1r3 源:1000 EPS:1000 IBM AIX 6.1r3 源:1000 EPS:1000 Sourcefire Snort 2011.1r1 源:500 EPS:500 |
自定义测试收集器(无分析) 代理管理器连接器服务器 1 源:5000 EPS:2500 |
以下每个收集器均有自己的 syslog 服务器,以如下 EPS 速率进行分析: Oracle Solaris 6.1r3 EPS:2000 Sourcefire Snort 2011.1r1 EPS:1500 NetIQ Universal Event 2011.1r1 EPS:2000 Juniper Netscreen Series 2011.1r1 EPS:1500 IBM AIX 6.1r3:2000 EPS:2000 |
以下每个收集器均有自己的 syslog 服务器,以如下 EPS 速率进行分析: Oracle Solaris 6.1r3 RCM #1:2000 RCM #2:2000 Sourcefire Snort 2011.1r1 RCM #1:2000 RCM #2:1000 NetIQ Universal Event 2011.1r1 RCM #1:2000 RCM #2:0 Juniper Netscreen Series 2011.1r1 RCM #1:2000 RCM #2:1500 |
联系 NetIQ 服务 |
|
|
|
|
|
|
|
IBM AIX 6.1r3 RCM #1:1500 RCM #2:0 IBM iSeries 2011.1r3 RCM #1:0 RCM #2:2000 |
联系 NetIQ 服务 |
Total |
事件源:101 EPS:100 已过滤:0% |
事件源:2500 EPS:2500 已过滤:0% |
事件源:5000 EPS:2500 已过滤:0% |
事件源:500 EPS:9000 已过滤:0% |
事件源:130 操作 EPS:16000 保留 EPS:11000 已过滤:25% |
||
数据存储 |
|||||||
用户将定期搜索过去多久的数据? |
为提高搜索性能而本地超速缓存的数据量。 |
7 天 |
联系 NetIQ 服务 |
||||
什么搜索百分比将覆盖上述天数以前的数据? |
影响本地或网络储存每秒输入/输出操作数量 (IOPS) |
10% |
|||||
必须保留过去多久的数据? |
影响保留所有数据所需的磁盘空间量。如果启用了网络储存,这会影响所需的网络储存大小。否则,它会影响所需的本地储存大小。 |
14 天 |
|||||
网络储存设备是否将可用并连接? |
影响所有数据是将本地储存还是网络储存可用于成本较低的长期联机储存。网络储存中的数据保持联机状态。 |
否 |
联系 NetIQ 服务 |
||||
将使用摘要和其他数据同步策略优化多少报告? |
影响数据同步策略的数量,该数量影响本地储存的大小和 IOPS。 |
5(即用型) |
4(即用型,源摘要 RDD 除外,该项落在后面) |
||||
用户活动 |
|||||||
平均有多少用户将同时处于活动状态? |
影响本地和网络储存及其他项目的 IOPS 数量。 |
1 |
联系 NetIQ 服务 |
||||
平均而言,活动用户将同时执行多少个搜索? |
影响本地和网络储存的 IOPS 数量。 |
1 个搜索或报告(但两者不能同时存在),每个报告 20k 事件,每个搜索 100M 事件 |
未使用搜索或报告负载进行测试 |
1 每个搜索 80M 事件 |
1 每个搜索 20M 事件 |
||
平均而言,活动用户将同时运行多少个报告? |
影响本地和网络储存的 IOPS 数量。 |
1 个搜索或报告(但两者不能同时存在),每个报告 20k 事件,每个搜索 100M 事件 |
未使用搜索或报告负载进行测试 |
1 每个报告 1k 事件 |
1 每个报告 60k 事件、5k 页面 |
||
分析 |
|||||||
与关联规则相关的事件数据百分比是多少? |
关联引擎将处理的数据量。 |
100%(即用型) (每秒 3 个关联) |
100%(即用型) (每秒 0 个关联) |
0% |
0% (有些数据到达太晚无法进行实时关联) |
联系 NetIQ 服务 |
|
将使用多少个简单关联规则(仅过滤/触发)? |
影响关联引擎的 CPU 占用率。 |
84 个(即用型) |
0 |
联系 NetIQ 服务 |
|||
将使用多少个复杂关联规则? |
影响关联引擎的 CPU 占用率和内存使用率。 |
0 个(即用型) |
|||||
关联引擎 (CE) 分配 |
本地嵌入式 CE(所有规则) |
||||||
将对多少数据集执行异常检测? |
安全智能仪表板数,该数字影响 CPU 占用率、本地储存大小和内存使用率。 |
1 (每个事件流的 1%) |
0 |
||||
高可用性 |
|||||||
注释 |
当超出上述系统负载时,显式功能遭禁用或发出事件警告。 |
原始数据已禁用 未使用的关联和安全智能 报告的事件超出 30k 会导致不稳定 |
原始数据已禁用 未使用的关联和安全智能 报告的事件数大于上述数量会导致不稳定 增加保留的 EPS 将最终在此系统配置中导致不稳定 |
联系 NetIQ 服务 |