|
|
|
La planification de la collecte de journaux pour votre réseau est basée sur le nombre d'événements par seconde que vous devez traiter à des fins de stockage et la durée pendant laquelle vous devez conserver les données en ligne (dans ce sens, en ligne signifie pouvant faire l'objet d'une recherche immédiate). Généralement, vous disposez seulement de 30 à 90 jours de mise en ligne des données.
Chaque réseau dispose de ses propres volumes d'événements en fonction du nombre d'unités, des types d'unités et du degré de réglage des unités et applications réseau telles que les pare-feu, pour répondre aux besoins d'informations sur les événements de l'entreprise. Par exemple, en fonction de leur configuration, certains pare-feu peuvent générer d'énormes volumes d'événements inutiles.
Nous vous recommandons de planifier votre collecte d'événements pour que votre volume total d'événements soit uniformément réparti sur vos serveurs CA Enterprise Log Manager, sans forcer l'un d'entre eux à dépasser le niveau normal d'utilisation constante. Pour conserver d'excellentes performances avec les volumes d'événements d'une entreprise, nous vous recommandons d'installer au moins deux serveurs CA Enterprise Log Manager fédérés.
L'illustration ci-dessous prĂ©sente un exemple simple de ce type de rĂ©seau CA Enterprise Log Manager fĂ©dĂ©rĂ©. Deux serveurs CA Enterprise Log Manager, un pour les rapports et un pour la collecte, gĂšrent le trafic d'Ă©vĂ©nements provenant de diffĂ©rentes sources d'Ă©vĂ©nement. Les deux serveurs peuvent partager des donnĂ©es pour les requĂȘtes, les rapports et les alertes.
Le serveur de collecte gĂšre principalement le trafic de journaux d'Ă©vĂ©nements entrants et se concentre sur les insertions dans la base de donnĂ©es. Il utilise une stratĂ©gie de conservation brĂšve des donnĂ©es, au maximum 24 heures. Un script automatisĂ© dĂ©place les journaux d'Ă©vĂ©nements stockĂ©s vers un serveur de rapports chaque jour, ou plus souvent, en fonction du volume d'Ă©vĂ©nements. La fĂ©dĂ©ration et l'utilisation de requĂȘtes fĂ©dĂ©rĂ©es entre les deux serveurs vous garantissent de recevoir des rapports prĂ©cis Ă partir des journaux d'Ă©vĂ©nements sur les deux serveurs.
Le serveur de rapports réalise plusieurs fonctions.
Un script de sauvegarde automatisĂ© dĂ©place les donnĂ©es du serveur de rapports au serveur distant (stockage sauvegardĂ©). Si vous dĂ©cidez de restaurer des donnĂ©es Ă partir du stockage sauvegardĂ©, vous le faites gĂ©nĂ©ralement sur le serveur de rapports. Si l'espace est limitĂ© sur le serveur de rapports, vous pouvez Ă©galement restaurer sur le serveur de collecte. Comme le serveur de collecte ne stocke pas de grandes quantitĂ©s de donnĂ©es et qu'il est fĂ©dĂ©rĂ©, les rĂ©sultats des rapports sont les mĂȘmes.
De plus, le serveur de rapports peut fonctionner comme récepteur de basculement pour les événements collectés par un connecteur sur un agent distant, si le serveur de collecte cesse de recevoir les événements pour une raison quelconque. Vous pouvez configurer le basculement au niveau de l'agent. Le traitement par basculement envoie les événements à un ou plusieurs serveurs CA Enterprise Log Manager alternatifs. La collecte d'événements par basculement n'est pas disponible pour les événements provenant de sources d'événement héritées, collectés par les écouteurs SAPI et iTech.
| Copyright © 2010 CA. Tous droits rĂ©servĂ©s. | Envoyer un courriel Ă CA Technologies sur cette rubrique |