Blog

Napló elemzés új szinteken – ESP ArcSight ESM 6.8

Évkezdet a nagy bejelentések időszaka. HP ESP ArcSight terméke kapcsán sincsen ez másként. A termékvonal két jelentős eleme jelentős fejlesztésen és licensz frissítésen esett át. A Logger (naplófogadás, tárolás, jelentés és lekérdezés) modul már csatában is bizonyított, a hozzá kapcsolódó ESM pedig most áll be a sorba. ESM kapcsán eddig sem értettem, hogy miért maradt valaki Oracle alapon, de most megkapta az ESM 6.8 a Logger 6.0-ban már kipróbált újabb CORRe motort. Alap jellemzők jelentősen nem változtak, s az ESM továbbra is képes közvetlenül belekérdezni a Logger farmok adataiba. Az adatterület lett nagyobb, ESM esetén akár online 120TB RAW, s alatta elhelyezkedő napló szinten pedig akár online 1600 TB RAW napló, szépen elosztva. Ehhez jönnek még a kereshető, de már archív állapotban lévő régebbi adatok. Meglepő módon az átgondoltság jellemzi a licenszelést is. Az 5GB/nap licenszekkel bővíthető licenszek minden szinten elég rugalmasságot biztosítanak. A Logger esetében az eszközszám nem jelent licenszelési limitet.

esp-arcsight-esm-6-8-03

Logger esetében a mesterségesen beállítható feldolgozási limit 250GB/nap modulonként, amit továbbra is 30 napra elosztva ellenőriz, így a pillanatnyi terhelések jól lekezelhetőek. Akinek 5TB/nap naplónál többet kell lekezelnie, az kénytelen legalább két rendszert letelepíteni, vagy Syslog-NG-vel „előszűrni” az adatokat. Egy modul akár 100.000 EPS-t is elbírhat. Tesztben ennek sokszorosát láttuk notebookon, de éle rendszerben is láttunk már legalább 75.000 EPS-t. Ne feledjük, hogy az ESM lés Logger tároló rendszere azonos CORRe! Fogadó – Connector – oldalon szerencsére nincs változás: tetszőlegesen összetett rendszert ki lehet alakítani redundanciával, tartalékokkal és jelentős teljesítmény többletekkel. A rendszeren belül teljes mértékben biztosított a titkosított, megbízható üzenetküldés a megfelelő QoS garanciákkal.

esp-arcsight-esm-6-8-04

A minták felismerése, összerendelése és a normalizálás is itt történik, így a Logger/ESM teljes mértékben – az események közel 100%-a kiterjedően – élvezheti az egyszerűbb adattárolás és ábrázolás előnyeit. A teljes szabad szöveges indexek és összegyűjtött, hozzárendelt adatok az esemény mellett örökre letárolódnak és felhasználhatóak, lehetővé téve a strukturált és szabad keresést is. Nem kis munka a nálunk megtalálható rendszerek mindegyikére elkészíteni az értelmezőt, de szerencsére a munka jelentős részét a gyártó átvállalja tőlünk, s több száz termékcsoport esetében előre kidolgozottan, támogatottan rendelkezésünkre bocsátja ezt.
A Logger 6.0 rendszerben az adtok keresése, leválogatása és jelentések támogatása során elért brutális sebességnövekedés az ESM 6.8-ban is megjelenik. Oracle alapok után csillagugrás, de a korábbi CORRe sebességéhez mérve is nagy előrelépés. Ezt Logger setében már tapasztalhattuk.

Hacker typing on a laptop

Másik irányból már a korábbi verziókban is összeért a CORRe rendszerek adattárolásának több részre oszthatósága és az Oracle rendszerekben kialakított finom jogosultság-kezelési rendszer. Így már tetszőleges tárolási eljárás kialakítható és ettől függetlenül tetszőleges módon szabályozható az adatelérés.

Hivatalos bejegyzés itt található ››

Kis-Szabó András Riasztó és megfigyelő rendszerek, beágyazott rendszerek, IOT

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöljük.