|
|
|
ネットワークのログ収集の計画では、処理して保存する必要のある 1 秒あたりのイベント数(eps)と、データをオンラインで保持する必要のある時間の長さを考慮する必要があります。 (この意味では、オンラインとはすぐに検索できる状態であることを意味します。)通常は、30 ~ 90 日分のデータをオンラインで保持します。
各ネットワークには、ネットワーク デバイスやファイアウォールなどのアプリケーションを企業のイベント情報のニーズに合わせて調整する度合いや、デバイスの数、デバイス タイプに応じて、独自のイベント ボリュームがあります。 たとえば、一部のファイアウォールは、設定された方法に基づいて大量の不要なイベントを生成する場合があります。
全体的なイベント ボリュームが使用する CA Enterprise Log Manager サーバに均等に分配され、いずれかのサーバが通常の一定の作業の割合を超えることがないように、イベント収集を計画することをお勧めします。 企業のイベント ボリュームで最高のパフォーマンスを維持するには、次のように少なくとも 2 つの連携された CA Enterprise Log Manager サーバをインストールすることをお勧めします。
次の図に、シンプルな連携された CA Enterprise Log Manager ネットワークの例を示します。 2 つの CA Enterprise Log Manager サーバ(1 つはレポート用、もう一方は収集用)がさまざまなイベント ソースからのイベント トラフィックを処理します。 どちらのサーバも、クエリ、レポート、およびアラート用にサーバ間でデータを共有できます。
収集サーバは、主に受信イベント ログ トラフィックを処理し、データベースへの挿入を中心に実行します。 収集サーバは、24 時間以下の短いデータ保存ポリシーを使用します。 保存されたイベント ログは、自動化されたスクリプトによって、イベントのボリュームに応じて 1 日 1 回またはそれ以上の頻度でレポート サーバに移動されます。 連携、および 2 つのサーバ間の連携クエリを使用すると、両方のサーバのイベント ログから正確なレポートを確実に受信できます。
レポート サーバは次のような複数の機能を実行します。
自動化されたバックアップ スクリプトによって、レポート サーバからリモート サーバ(コールド ストレージ)にデータが移動されます。 コールド ストレージからデータを復元することを決定した場合、通常はレポート サーバに復元します。 レポート サーバにスペースの制約がある場合は、収集サーバにも復元できます。 収集サーバには大量のデータを保存できませんが、連携によって同じレポート結果を得ることができます。
さらに、レポート サーバは、収集サーバが何らかの理由でイベントの受信を停止した場合に、リモート エージェントのコネクタによって収集されたイベントのフェイルオーバー用の受信先として利用できます。 エージェント レベルでフェイルオーバーを設定することも可能です。 フェイルオーバー処理によって、1 つ以上の代替 CA Enterprise Log Manager サーバにイベントが送信されます。 イベント収集のフェイルオーバーは、SAPI および iTech リスナによって収集されたレガシーのイベント ソースからのイベントには使用できません。
| Copyright © 2011 CA. All rights reserved. | このトピックについて CA Technologies に電子メールを送信する |