6.7 スケーラブルストレージでの3層展開

複数のSentinelサーバにイベントを分散させたり、複数のインスタンスに環境設定を重複させたりしない大規模なデータストレージとデータ処理のニーズがある場合は、スケーラブルストレージで3層分散展開を設定できます。この展開では、複数のSentinelサーバではなく、単一のSentinelサーバをスケーラブルストレージと共に使用して、大規模なデータを格納および管理できます。

スケーラブルストレージを使用するよう新しいSentinelサーバを設定することも、既存のSentinelサーバをアップグレードしてスケーラブルストレージを有効にすることもできます。

使用する必要のあるSentinel機能に応じて、Sentinel展開を設定する方法を判断できます。

図 6-6 スケーラブルストレージの3層展開

この展開には、次の層が含まれます。

  • データ収集層: さまざまなイベントソースからのイベントを収集します。従来のストレージのSentinelで既存のデータ収集のセットアップを保持しつつ、スケーラブルストレージを利用したい場合は、必要に応じて、scalablestorage_data_uploader.shスクリプトを使用し、必要なイベントを従来のストレージからスケーラブルストレージへ直接転送できます。詳細については、イベントデータと生データの移行を参照してください。

  • スケーラブルストレージ層: 大規模なデータの保存、インデックス作成、および分析を行います。この層にあるSSDMサーバでは、データの収集と相関を管理することができ、その他のSSDM機能も提供されます。SSDMで利用できないSentinel機能を使用するには、従来のストレージ層を設定することができます。収集したデータを別のSIEMシステムに転送したり、別のビジネスインテリジェンスツールからデータにクエリを実行したり、広くサポートされているHadoop、Kafka、Spark、およびElasticsearch APIを使用してHadoop配布パッケージ上で直接分析を実行したりすることもできます。

  • 従来のストレージ層: セキュリティインテリジェンス、従来の検索、およびレポーティングなどのSentinel機能を利用するには、従来のストレージを使用するSentinelの別個のインスタンスをインストールする必要があります。イベントのルーティングルールを設定すると、Sentinel Linkを使用して、目的のイベントをSentinelからSSDMに転送することができます。

    従来のストレージ層にある任意のSentinelサーバを使用すると、検索やレポーティングを実行することができます。必要に応じて、独立した検索層を設定して、従来のストレージ層にあるすべてのSentinelサーバにまたがる検索とレポーティングのために便利な単一アクセスポイントを提供することもできます。スケーラブルストレージでのイベントの検索には、SSDMの検索オプションを使用します。

スケーラブルストレージのインストールと設定の詳細については、セクション 12.0, スケーラブルストレージのインストールと設定を参照してください。