2.2 Recommandations matérielles
Lors de l'installation sous Linux ou Windows, les composants serveur et base de données Sentinel peuvent s'exécuter sur du matériel x86 (32 bits) ou x86-64 (64 bits), y compris les processeurs AMD
Opteron et Intel Xeon. Les serveurs Itanium ne sont pas pris en charge.
Pour Solaris, l'architecture SPARC est prise en charge.
2.2.1 Architecture
L'architecture de Sentinel est hautement évolutive et, si des taux d'événements élevés sont prévus, les composants peuvent être répartis sur plusieurs machines pour obtenir les meilleures performances du système.
De nombreux facteurs doivent être pris en considération lors de la conception d'un système Sentinel.
Voici une liste partielle de facteurs à prendre en considération lors de la conception d'un système :
Taux d'événements (événements par seconde ou EPS)
Emplacement géographique/réseau des sources d'événements et largeur de bande entre les réseaux
Matériel disponible
Systèmes d'exploitation de prédilection
Projets d'évolutivité
Niveau prévu de filtrage d'événements
Stratégies locales de rétention des données
Exigences en matière de nombre et de complexité des règles de corrélation
Nombre prévu d'incidents par jour
Nombre prévu de processus de travail qui seront gérés par jour
Nombre d'utilisateurs se loguant au système
Vulnérabilité et organisation des ressources
Le principal facteur dans la conception d'un système Sentinel est le taux d'événements – en effet, une augmentation des taux d'événements affecterait pratiquement tous les composants de l'architecture Sentinel. Dans un environnement où le taux d'événements est élevé, le composant le plus sollicité est la base de données qui est très dépendante des E/S et peut tout aussi bien gérer simultanément des insertions de centaines voire de milliers d'événements par seconde, des objets créés par plusieurs utilisateurs, des mises à jour des processus de travail, des requêtes historiques simples émanant de Sentinel Control Center et des rapports à long terme provenant de Crystal
Enterprise Server. Novell formule donc les recommandations suivantes :
La base de données doit être installée sans aucun autre composant Sentinel.
Le serveur de la base de données doit être dédié aux activités Sentinel. D'autres applications
(ou processus ETL) peuvent affecter les performances de la base de données.
Le serveur de base de données requiert une pile de disques haute vitesse répondant aux exigences d'E/S basées sur les taux d'insertion d'événements.
Meilleures pratiques
21
Un administrateur de base de données spécialisé doit évaluer régulièrement les aspects suivants de la base de données :
Taille
Activités E/S
Espace disque
Mémoire
Indexer
Dans les environnements à faible taux d'événements (par exemple, EPS < 25), les recommandations ci-dessus peuvent être moins strictes, car la base de données et les autres composants utiliseront moins de ressources.
Cette section inclut des recommandations matérielles générales destinées à vous aider à concevoir un système Sentinel. En général, les recommandations en termes de conception sont basées sur des plages de taux d'événements. Elles sont toutefois basées sur les suppositions suivantes :
Le taux d'événements tend vers la limite supérieure de la plage EPS.
La taille moyenne des événements est de 600 octets.
Tous les événements sont stockés dans la base de données (autrement dit, il n'existe aucun filtre permettant d'éliminer certains événements).
L'équivalent de trente jours de données est stocké en ligne dans la base de données.
L'espace de stockage pour les données Advisor n'est pas repris dans les spécifications cidessous.
Sentinel Server dispose d'un espace disque par défaut de 5 Go pour le caching temporaire des données d'événements dont l'insertion dans la base de données n'a pas abouti.
Sentinel Server dispose également d'un espace disque par défaut de 5 Go pour les événements qui ne peuvent pas être écrits dans les fichiers d'événements de regroupement.
Les recommandations matérielles pour une mise en œuvre Sentinel étant susceptibles de varier d'un déploiement à l'autre, il est recommandé de consulter Novell Consulting Services avant de finaliser l'architecture Sentinel. Les recommandations suivantes peuvent servir de lignes directrices.
Remarque : en raison des charges d'événements élevées et du caching local, la machine Sentinel
Server avec DAS doit être pourvue d'une pile de disques à bande locale ou partagée (RAID) avec un minimum de 4 broches.
Les hôtes distribués doivent être connectés aux autres hôtes du serveur Sentinel via un seul commutateur de haute vitesse (GIGE) afin d’éviter des goulot d’étranglement de trafique des réseaux.
Novell recommande d'installer Crystal Enterprise Server sur une machine qui lui est spécifique, surtout si la base de données est volumineuse ou si l'on prévoit de créer de nombreux rapports.
Crystal peut être installé sur la même machine que la base de données si cette dernière est peu volumineuse, si la création de rapport est peu intense et si la base de données est installée sous
Windows ou Linux.
Remarque : Sentinel 6.0 était toujours en phase de développement au moment de la rédaction du présent document, les valeurs suivantes sont donc basées sur un test de Sentinel 5.1.3. Pour obtenir
22
Guide d'installation de Sentinel 6.0
des informations actualisées, consultez le site de documentation Novell à l'adresse http:// www.novell.com/documentation (http://www.novell.com/documentation) .
EPS 1-500 : configuration 2 machines (Sentinel 5.1.3)
Composants
Machine 1 : Sentinel Server / Collector
Manager
Moteur de corrélation
DAS
Serveur de communication
Advisor
Collector Manager / Collectors
Base de données
Crystal Server (facultatif pour
Windows/Linux)
Machine 2 : Report Server
Crystal Server
RAM
6 Go
2 Go
Espace
250 Go
20 Go
UC
Windows ou Linux - 2 x Intel
®
Xeon
®
5150 double cœur (2,66 GHz) ou
Sun Solaris - 4 x UltraSPARC IIIi (1,5
GHz)
Windows ou Linux - 1 x Intel
®
Xeon
®
5150 double cœur (2,66 GHz)
EPS 500 – 1500 : configuration 3 machines (Sentinel 5.1.3)
Composants RAM
Machine 1 : Sentinel Server / Collector
Manager
4 Go
Moteur de corrélation
DAS
Serveur de communication
Advisor
Collector Manager / Collectors
Machine 2 : Base de données
Base de données
Crystal Server (facultatif pour
Windows/Linux)
4 Go+
Espace
40 Go
1 To+
Machine 3 : Report Server (uniquement nécessaire si Sentinel/la base de données sont sous Solaris)
2 Go
Crystal Server
20 Go
UC
Windows ou Linux - 2 x Intel
®
Xeon
®
5160 double cœur (3,0 GHz) ou
Sun Solaris - 2 x UltraSPARC IV+ de
1,8 GHz
Windows ou Linux - 2 x Intel
5160 double cœur (3,0 GHz)
®
Xeon
® ou
Sun Solaris - 2 x UltraSPARC IV+ de
1,8 GHz
Windows ou Linux - 1 x Intel
®
Xeon
®
5150 double cœur (2,66 GHz)
Meilleures pratiques
23
