Sentinelでは、収集したデータのルーティング、保管、および抽出に、複数のオプションを提供しています。デフォルトでは、Sentinelは2つの独立した、関連するデータストリーム(解析済みデータと生データ)をコレクタマネージャから受信します。生データは、セキュアなエビデンスチェーンを提供するために、保護されたパーティションの中に即時に格納されます。解析済みデータは、定義したルールに従ってルーティングされます。フィルタリングされたり、ストレージに送信されたり、リアルタイム分析に送信されたり、外部システムにルーティングされたりします。ストレージに送信されるすべてのイベントデータは、さらにユーザ定義の保持ポリシーと突き合わされます。イベントデータはこのポリシーによって決定されるパーティションに配置され、このポリシーが定義するグルーミングポリシーに従ってイベントデータの保持と最終的な削除が行われます。
Sentinelのデータストレージは3層構造になっています。
オンラインストレージ
プライマリまたはローカルストレージ: 迅速な書き込みと高速な取得のために最適化されています。ごく最近に収集されたイベントデータ(および頻繁に検索されるイベントデータ)はここに保管されます。
セカンダリまたはネットワークストレージ: 高速な取得をサポートしながらも、スペース使用量を減らすために最適化されています。Sentinelは自動的にデータパーティションをセカンダリストレージに移行します。
メモ: セカンダリストレージの使用はオプションです。データ保持ポリシー、検索、およびレポートは、それ自体がプライマリストレージとセカンダリストレージのどちらにあるか、または両方にあるかにかかわらず、イベントデータパーティションで実行されます。
オフラインストレージまたはアーカイブストレージ
パーティションを閉じた後に、閉じたパーティションのデータを廉価なマスストレージなどのオフラインストレージや、Amazon Glacierなどにバックアップすることができます。必要であれば、オフラインパーティションを一時的に再インポートして、長期間の捜査分析に利用できます。
データ同期ポリシーを使用して、イベントデータとイベントデータ要約を外部データベースに抽出するようにSentinelを設定することもできます。詳細については、『NetIQ Sentinel 7.1 Administration Guide』の「Configuring Data Storage
」を参照してください。