6.7 具有可擴充儲存的三層部署
針對您不想要讓事件分散在多部 Sentinel 伺服器中,和在多個例項中具有重複組態設定的大型資料儲存和資料處理需求,您可以設定具有可擴充儲存的三層分散式部署。此部署可透過使用具有可擴充儲存的單一 Sentinel 伺服器,而非使用多部 Sentinel 伺服器,讓您儲存和管理大型資料。
您可以使用設定可擴充式儲存設定新的 Sentinel 伺服器或升級您現有的 Sentinel 伺服器來啟用可擴充儲存。
根據您要使用的 Sentinel 功能,您可以決定如何設定 Sentinel 部署。
圖 6-6 可擴充儲存的三層部署
此部署包括下列層級:
-
資料集合層: 適用於收集來自大範圍事件來源的事件。或者,若您想要使用傳統儲存 Sentinel 保留現有的資料收集安裝程式,並仍使用可擴充儲存功能,您可以使用 scalablestorage_data_uploader.sh 程序檔將想要的事件直接從傳統儲存傳送到可擴充儲存。如需詳細資訊,請參閱移轉事件資料和原始資料。
-
可擴充儲存層: 針對儲存、索引和分析大量資料。在此層中的 SSDM 伺服器讓您可以管理資料集合和關連,並提供其他 SSDM 功能。若要使用 SSDM 中沒有的 Sentinel 功能,您可以設定傳統儲存層。您也可以轉遞集合資料至任何其他 SIEM 系統,或允許其他業務智慧工具查詢資料,或使用廣泛支援的 Hadoop、Kafka、Spark 和 Elasticsearch API,直接在您的 Hadoop 配送上執行分析。
-
傳統儲存層: 若是 Sentinel 功能,例如安全情報、普通搜尋和報告,您必須安裝具有傳統儲存的 Sentinel 個別例項。您可以設定事件路由規則,使用 Sentinel 連結將想要的事件從 SSDM 轉遞至 Sentinel。
您可以使用傳統儲存層中的任何 Sentinel 伺服器執行搜尋和報告。另一選項是您可以設定個別搜尋層,針對傳統儲存層中所有 Sentinel 伺服器的搜尋和報告,提供方便的單一存取點。針對在可擴充儲存中搜尋事件,請使用 SSDM 中的搜尋選項。
如需有關安裝和設定可擴充儲存的詳細資訊,請參閱節 12.0, 安裝和設定可擴充儲存。