6.7 具有可擴充儲存的三層部署

資料集合層： 適用於收集來自大範圍事件來源的事件。

可擴充儲存層： 適用於儲存和編製大型資料的索引。此層級中的 SSDM 伺服器可讓您管理資料集合和事件路由、搜尋和視覺化事件，以及執行某些管理活動。針對其他 Sentinel 功能 (例如即時分析和報告)，您可以設定個別的分析層。您可以使用如圖所示的 Sentinel Link 來設定事件路由規則，以將分析所需的特定事件轉遞至分析層。您也可以將收集的資料轉遞至任何其他 SIEM 系統或啟用其他業務智能工具，以直接在 Hadoop 分配上查詢資料或執行分析。

分析層： 若要針對大型資料執行即時分析，您必須設定分析層並設定事件路由規則，以從可擴充儲存層轉遞所需事件。此外，您也可以使用相同的分析層收集和儲存來自其他 NetIQ 產品 (例如 Secure Configuration Manager 和 Change Guardian) 的網路流程資料和事件。您可以針對分析目的部署一或多部 Sentinel 伺服器，如圖所示。

搜尋層： 這是一個選擇性的層級。您也可以使用分析層中的任何 Sentinel 伺服器執行搜尋和報告。不過，擁有個別搜尋層可使用 Sentinel 資料聯盟，跨分析層中的所有伺服器針對搜尋和報告，提供便利的單一存取點。針對在可擴充儲存中搜尋事件，請使用 Sentinel 可擴充資料管理員中的搜尋選項。