Sentinel 提供多個選項可路由、儲存並擷取收集到的資料。依預設,Sentinel 會從收集器管理員接收兩個獨立但相關的資料流:剖析的事件資料和原始資料。原始資料會立即儲存在受保護的分割區中,以提供安全的辨識鏈。剖析的事件資料會根據您定義的規則路由,而且可以篩選出來、傳送到儲存、傳送到即時分析,並路由到外部系統。傳送到儲存的所有事件資料會進一步對應到使用者定義的保留規則,以決定放入資料的分割區,也定義了清理規則,事件資料會依此加以保留,然後再進行刪除。
Sentinel 的資料儲存基礎為三層結構:
線上儲存
主要或本地儲存: 最佳化快速寫入和快速取回。最近收集 (以及最常搜尋) 的事件資料會儲存在此處。
次要或網路儲存: 最佳化以減少空間使用率,但仍支援快速取回。Sentinel 會將資料分割區自動移轉到次要儲存。
附註: 您可選擇使用次要儲存。資料保留規則、搜尋和報告會在事件資料分割區上作業,不論他們是否實際存在主要或次要儲存 (或兩者皆是) 上。
離線儲存或封存儲存:
關閉分割區後,您可以將已關閉的分割區備份到像是低價的大量儲存、Amazon Glacier 等的離線儲存上。必要時,您可以暫時重新輸入離線分割區以進行長期詳細分析。
您也可以使用資料同步規則,設定 Sentinel 將事件資料和事件資料摘要擷取到外部資料庫。如需詳細資訊,請參閱《NetIQ Sentinel 7.1 管理指南》中的「設定資料儲存
」。