6.7 使用可缩放储存进行三层部署
若要满足大规模数据储存和数据处理需求,但又不希望将事件分布在多个 Sentinel 服务器上并在多个实例之间复制配置设置,则可使用可缩放储存设置三层分布式部署。在此部署中,您可以使用带有可缩放储存的单个 Sentinel 服务器而非多个 Sentinel 服务器储存和管理大量数据。
您可以设置带可缩放储存的 Sentinel 服务器或升级现有 Sentinel 服务器以启用可缩放储存。
根据您要使用的 Sentinel 功能,您可以确定如何对您的 Sentinel 部署进行设置。
图 6-6 针对可缩放储存的三层部署
此部署包括以下几层:
-
数据收集层: 用于从各种事件源收集事件。如果您想要在保留现有数据集设置和传统储存 Sentinel 的同时能够利用可缩放储存功能,可通过使用 scalablestorage_data_uploader.sh 脚本将所需事件从传统储存直接转发到可缩放储存。有关详细信息,请参见迁移事件数据和原始数据。
-
可缩放储存层: 用于储存、索引和分析大型数据。您可以使用这层的 SSDM 服务器管理数据集合和数据关联,并提供其他 SSDM 功能。要使用 SSDM 中没有的 Sentinel 功能,您可以设置传统储存层。您还可以将收集的数据转发到任何其他 SIEM 系统或启用其他商业智能工具查询数据,或使用广泛支持的 Hadoop、Kafka、Spark 和 Elasticsearch API 在 Hadoop 分发包上直接进行分析。
-
传统储存层: 要获得某些 Sentinel 功能,如安全智能、传统搜索以及报告,您必须安装带有传统储存的 Sentinel 的独立实例。您可以配置事件路由规则,以使用 Sentinel Link 将需要的事件从 SSDM 转发到 Sentienl。
您也可以使用传统储存层中的任一 Sentinel 服务器执行搜索和报告操作。您还可选择设置独立的搜索层,可以提供方便的单一接入点,以便跨传统储存层中所有 Sentinel 服务器搜索和报告。要在可缩放储存中搜索事件,请使用 SSDM 中的搜索选项。
有关安装和设置可缩放储存的详细信息,请参见部分 12.0, 安装和设置可缩放储存。