Les intervalles sont envoyés au Centre de contrôle Sentinel après un bref délai pour stabiliser les données qui ont pu arriver tardivement en raison d'un ralentissement du réseau et d'un décalage horaire.
Les vues actives sont automatiquement partagées par plusieurs utilisateurs si l'attribut d'événement et le filtre souhaités sont les mêmes. Lorsqu'une vue active n'est plus utilisée par aucun utilisateur, elle est abandonnée au bout d'une heure. Cependant, si une vue active est enregistrée dans les préférences utilisateur, elle continue à collecter des données pendant un maximum de 100 heures.
Processus de synchronisation des données (contrôleur des données)
Le processus de synchronisation des données (data_synchronizer) gère la modification des données de configuration par plusieurs utilisateurs. Lorsqu'un utilisateur demande à modifier des données via le Centre de contrôle Sentinel, l'enregistrement de données est verrouillé par le synchroniseur de données. Les détails relatifs à l'utilisateur qui a verrouillé les données sont publiés sur les autres Centres de contrôle Sentinel actifs et aucun autre utilisateur ne peut modifier ces données. Si un Centre de contrôle Sentinel est fermé avant qu'il ne déverrouille les données qu'il a verrouillées, le délai imparti au verrou expire.
Processus de moteur de corrélation (correlation_engine)
Le processus Correlation Engine (correlation_engine) reçoit des événements du Gestionnaire des collecteurs Wizard et publie les événements corrélés en fonction de règles de corrélation définies par l'utilisateur.
Processus RuleLg Checker (rulelg_checker)
Le processus du vérificateur RuleLg (rulelg_checker) valide la syntaxe des expressions de filtre et de règle de corrélation. Le Centre de contrôle Sentinel utilise ces résultats pour déterminer si un filtre ou une règle de corrélation peut être enregistrée.
Processus DAS (Data Access Service)
Le processus DAS (Data Access Service) constitue le service de persistance de Sentinel
Server et fournit une interface à la base de données. Il permet un accès régi par les données au serveur principal de la base de données.
DAS est un conteneur, composé de cinq processus différents. Chaque processus est responsable de différents types d'opérations de base de données. Ces processus sont contrôlés par les fichiers de configuration suivants :
das_binary.xml : utilisé pour les opérations d'insertion d'événements corrélés ou non.
das_query.xml : toutes les autres opérations de base de données.
activity_container.xml : utilisé pour exécuter et configurer le service d'activité.
workflow_container.xml : utilisé pour configurer le service de processus de travail (iTRAC).
das_rt.xml : utilisé pour configurer la fonction Active Views dans la console Sentinel.
1-14
Guide de L'Utilisateur de Sentinel
