Service Data Access
Le service Data Access (DAS) est un service de gestion des objets qui permet aux utilisateurs de définir des objets à l'aide de métadonnées. Il gère les objets et l'accès aux objets et automatise la transmission et la persistance. Il fait également office de façade d'accès aux données à partir d'un magasin de données persistantes, tel qu'une base de données, des services d'annuaire ou des fichiers. Les tâches effectuées par le service DAS incluent un accès uniforme aux données via JDBC et, le cas échéant, des stratégies d'insertion d'événement hautes performances
à l'aide de connecteurs natifs (à savoir OCI pour Oracle 9i et ADO pour Microsoft SQL Server).
Service Query Manager
Le service Query Manager gère les requêtes d'analyse approfondie et d'historique d'événement
à partir du Centre de contrôle Sentinel. Ce service constitue un composant intégral pour mettre en œuvre l'algorithme de pagination utilisé dans la fonctionnalité de recherche de l'historique d'événement. Il convertit les filtres définis par l'utilisateur en critères valides et ajoute à ces critères des critères de sécurité avant l'extraction des événements. En outre, ce service empêche les critères de changer pendant une transaction d'historique d'événement paginé.
Service Correlation
L'algorithme de corrélation de Sentinel 5 calcule les événements corrélés en analysant le flux de données en temps réel. Il publie les événements corrélés en fonction de règles définies par l'utilisateur avant que les événements n'atteignent la base de données. Les règles du moteur de corrélation peuvent détecter un modèle dans un événement unique d'une fenêtre d'événe- ments s'exécutant Lorsqu'une correspondance est détectée, le moteur de corrélation génère un événement corrélé décrivant le modèle trouvé et peut générer un incident ou déclencher un processus de travail de résolution via iTRAC. Le moteur de corrélation fonctionne avec un composant de vérificateur de règle qui calcule les expressions de règle de corrélation et valide la syntaxe des filtres. Outre un jeu complet de règles de corrélation, le moteur de corrélation de Sentinel apporte des avantages spécifiques par rapport aux moteurs de corrélation basés sur la base de données.
En s'appuyant sur un traitement en mémoire plutôt que sur des insertions et lectures de base de données, le moteur de corrélation opère en cas de volumes stables élevés et de pics d'événement lorsqu'il est attaqué, situation où les performances de corrélation sont des plus critiques.
Le volume de corrélation ne ralentissant pas les autres composants système, l'interface utilisateur continue à réagir rapidement, en particulier en cas de gros volumes d'événements.
Corrélation distribuée : les entreprises peuvent déployer plusieurs moteurs de corrélation, chacun sur son propre serveur, sans devoir répliquer des configurations ni ajouter des bases de données. Une montée en charge par composant apporte une évolutivité
économique et améliore les performances.
Le moteur de corrélation peut ajouter des événements aux incidents une fois un incident déterminé.
Les utilisateurs sont encouragés à utiliser la mesure ERPS (Event Rules per Second, règles d'événement par seconde). Il s'agit de la mesure du nombre d'événements qui peuvent être examinés par une règle de corrélation par seconde. Cette mesure constitue un bon indicateur de performances car elle estime l'impact sur les performances lorsque deux facteurs se croisent : événements par seconde et nombre de règles utilisées.
1-20
Guide de L'Utilisateur de Sentinel
