دليل لاستخدام كايتو لبحيرة البيانات

تتناول هذه المقالة تفاصيل معدل توليد الأحداث واحتفاظ البيانات لخدمة كايتو لبحيرة البيانات وحسابك.

نظرة عامة

تحتوي كايتو لبحيرة البيانات على البيانات التي تسجلها الخدمات المختلفة في منصة كايتو، مثل الشبكات، الأمن، الوصول وما إلى ذلك. يتم إضافة بيانات مثل معلومات الأحداث إلى بحيرة البيانات في الوقت الفعلي وتحتفظ بها لفترة زمنية محددة، كما هو معرف بعقد العميل. تستخدم كايتو وحدات بحيرة البيانات لتعريف احتفاظ بيانات العملاء وفقاً لـ:

  • معدل الأحداث كل ساعة (حاليا بوحدات 2.5 مليون حدث في الساعة)
  • وقت الاحتفاظ (مثلاً: 3 أشهر، 6 أشهر، إلخ..)

يتم التخلص من البيانات التي تتجاوز شروط وحدة بحيرة البيانات. على سبيل المثال، إذا كان هناك أكثر من 2.5 مليون حدث في الساعة أو بيانات تجاوزت 3 أشهر.

كجزء من منصة كايتو، تتلقى الحسابات وحدة واحدة من بحيرة البيانات تتضمن حد معدل الأحداث من 2.5 مليون حدث في الساعة وفترة احتفاظ 3 أشهر. يستطيع العملاء اختيار شراء وحدات بحيرة بيانات إضافية لزيادة معدل الأحداث الساعة و/أو زيادة وقت الاحتفاظ بالأحداث.

يمكن للعملاء أيضاً استخدام تكاملات مختلفة لتوجيه بياناتهم إلى تخزين سحابي خارجي وأدوات SIEM بدون تكلفة إضافية.

تنطبق هذه المعلومات في هذه المقالة على حسابات كاتو بدءًا من 1 يناير 2024(*)

نهج احتفاظ بالأحداث

يتم الاحتفاظ بالأحداث في الوقت الفعلي ويمكن تتبعها في تطبيق إدارة كايتو (CMA) في صفحة الأحداث (الرئيسية > الأحداث).

  • تحتفظ كايتو بمجموعة أساسية من أحداث الأمن والاتصال لكل عميل
  • يمكن للعملاء اختيار أحداث إضافية لتوليدها والاحتفاظ بها في السياسات

  • تحدد رخص العملاء الحد الأقصى لمعدل الساعة لعدد الأحداث التي يتم توليدها والاحتفاظ بها

    • يتم التخلص من الأحداث التي تتجاوز هذا العدد لبقية الساعة

لمزيد من المعلومات حول تحسين الأحداث المولدة، راجع أفضل ممارسات لتخزين سجلات الأحداث لكايتو والاستيعاب

قياس الأحداث الناتجة والتخلص منها طوال الساعة

يخضع بحيرة البيانات لحدود معدل تستند إلى عدد الأحداث المولدة في الساعة.

يتم تتبع عدد الأحداث التي تم توليدها لحسابك في الساعة الأخيرة بواسطة عداد.

  • في بداية كل ساعة، يتم إعادة ضبط العداد

  • عندما يصل عدد الأحداث إلى حد تعيينه للعميل، يتم التخلص من الأحداث الإضافية لبقية تلك الساعة

    ومع ذلك، تستمر كايتو في الاحتفاظ بأحداث النظام المتعلقة بعمليات كايتو

  • تسمح كايتو بشكل عام بوجود مساحة أعلى الحد لتقليل احتمالية حذف الأحداث

تحديد معدلات الأحداث

التفاصيل لتحديد معدلات الأحداث الافتراضية لكايتو تستند إلى وحدات بحيرة البيانات التي يملكها الحساب:

  • تسمح كايتو بواحدة وحدة بحيرة بيانات مجانًا (حاليًا 2.5 مليون حدث لكل ساعة)
  • إذا تم توليد المزيد من الأحداث عن الوحدات المرخصة من بحيرة البيانات، يتم التخلص من الأحداث الزائدة لبقية الساعة
  • لتجنب التخلص من الأحداث، لدى العملاء الخيار لشراء وحدات بحيرة بيانات إضافية

نوصي بشراء وحدات بحيرة بيانات إضافية لتلبية متطلبات البيانات لمنظمتك، لمزيد من المعلومات، انظر أدناه تقدير متطلبات الأحداث بدون تاريخ حدث.

الاحتفاظ بالأحداث

للعقود والتجديدات التي تبدأ اعتباراً من 1 يناير 2024، تكون فترة الاحتفاظ الافتراضية للأحداث هي 3 أشهر.

  • بعد فترة الاحتفاظ (مثلاً بعد 3 أشهر)، يتم التخلص من بيانات الحدث
  • يمكن للعملاء شراء الاحتفاظ بالبيانات الإضافية إذا كانوا يرغبون في الاحتفاظ ببيانات الحدث لأكثر من ثلاث أشهر

إذا اختار العميل دفع ثمن احتفاظ بيانات إضافي، لا يتم احتساب الاحتفاظ المجاني الذي يتم توفيره افتراضياً: جميع الاحتفاظ بالأحداث يخضع لرسوم.

  • لمزيد من المعلومات حول شراء الاحتفاظ بالبيانات الإضافية، يرجى الاتصال بممثل كايتو الخاص بك.

يدعم كايتو الخيارات التالية لتخزين الأحداث:

وحدات بحيرة البيانات

بشكل افتراضي، كل حساب يحتوي على وحدات بحيرة البيانات التالية:

  • معدل الأحداث الشامل لكل ساعة (حاليًا بوحدات 2.5 مليون حدث لكل ساعة)
  • وقت الاحتفاظ (مثلاً 3 أشهر، 6 أشهر، إلخ...)

يمكنك اختيار شراء وحدات بحيرة بيانات إضافية لزيادة معدل الأحداث في الساعة و/أو مدة الاحتفاظ.

زيادة حد معدل الأحداث

تحدد وحدات بحيرة البيانات عدد الأحداث الذروة التي يمكن إنتاجها في الساعة. لا يؤثر فترة عندما يتم إنتاج عدد أقل من الأحداث في الساعة على العدد الذي يمكن إنتاجه في الساعات المستقبلية.

كل وحدة بحيرة بيانات يتم شراؤها لزيادة الحد بمقدار 2.5 مليون حدث في الساعة. لذلك، كمثال:

  • تسمح وحدتان من بحيرة البيانات بـ 2.5 مليون حدث إضافي لكل ساعة (بحد أقصى 5 ملايين حدث لكل ساعة إجمالاً)
  • تسمح ثلاث وحدات بـ 5 ملايين حدث إضافي لكل ساعة (بحد أقصى 7.5 مليون حدث لكل ساعة إجمالاً)

زيادة فترة احتفاظ بالأحداث

تتوفر وحدات بحيرة البيانات بثلاثة إصدارات، وفقا للفترة المطلوبة للاحتفاظ:

  • وحدة ثلاث أشهر
  • وحدة ستة أشهر
  • وحدة اثني عشر شهرًا

التنوع المختار ينطبق على جميع وحدات البيانات، لا يمكن مزج الوحدات.

أمثلة

يظهر الجدول أدناه استخدام وحدات بحيرة البيانات لتلبية متطلبات تخزين الأحداث للعميل.

عدد الذروة للأحداث المولدة لكل ساعة الفترة المطلوبة للاحتفاظ الوحدات الإضافية من وحدات بحيرة البيانات المطلوبة نوع وحدة بحيرة البيانات المطلوبة
حتى 2.5 مليون 3 أشهر 0 N/A
حتى 2.5 مليون 6 أشهر 1 وحدة 6 أشهر
حتى 5 ملايين 3 أشهر 1 وحدة 3 أشهر
حتى 7.5 ملايين 12 أشهر 2 وحدة 12 أشهر

تقدير متطلبات وحدات بحيرة البيانات استناداً إلى سجل الأحداث

يستطيع العملاء ذوو أداء مستقر في توليد الأحداث تفحص خريطة الأحداث في CMA لرؤية عدد الأحداث التي تتحقق. يمكنهم استخدام الذروات في هذه الخريطة للنظر في متطلبات تحديد معدل الأحداث الخاصة بهم.

في مخطط المثال أدناه، تصل الذروات إلى أقصى حد يزيد قليلاً عن 400,000 حدث في الساعة. سيتم تغطية هذا بوحدة بحيرة البيانات الفردية المجانية.

Data_SKUs_Event_History_1.png

في مخطط المثال أدناه، يتجاوز عدد الأحداث في الساعة 2.5 مليون كل ساعة، وتقترب أعلى قمة من 3 ملايين. هذا أكثر مما يمكن تغطيته بواسطة الحد الافتراضي لمعدل الأحداث لوحدة واحدة من بحيرة البيانات. ستغطي وحدة إضافية واحدة هذه متطلبات التخزين، مما يسمح بتوليد حتى 5 ملايين حدث في الساعة.

Data_SKUs_Event_History_2.png

لاحظ أن الارتفاع الدقيق لكل شريط يمكن فحصه بتحريك المؤشر فوق الشريط، كما هو موضح في الرسم البياني أدناه.

Data_SKUs_Event_History_2_hover.png

نقاط إضافية يجب ملاحظتها:

  • تغطي هذه الأمثلة فترة قصيرة، للراحة. ستكون فترة التحليل الأطول حكيمة.
  • ستتغير الفترة الزمنية التي يمثلها كل شريط وفقًا للفترة الزمنية التي تغطيها الرسم البياني. انتبه إلى دقة سلسلة الوقت أثناء تغيير الفترة الزمنية المغطاة.

تقدير متطلبات الأحداث بدون سجل الأحداث

تساعدك هذه الفقرة في إنشاء تقدير مبدئي خشن للأحداث الذروية في الساعة لفهم عدد وحدات بحيرة البيانات المطلوبة. ننصح بمراقبة معدلات الأحداث الفعلية باستمرار وتعديلها حسب الضرورة. يعتمد عدد الأحداث الفعلية التي تُنتج في الساعة على عدة متغيرات، مثل أنماط حركة المرور وتكوين تسجيل السياسات. لمزيد من المعلومات، انظر أفضل ممارسات لتخزين سجلات الأحداث لكايتو والاستيعاب.

يرتبط توليد الأحداث بإجمالي عرض النطاق المستخدم عبر الشبكة وعدد مستخدمي SDP المدعومين. يمكن للعملاء الذين ليس لديهم سجل توليد أحداث تقدير احتياجاتهم المتوقعة من تحديد معدل الأحداث عن طريق إضافة مجموع عرض النطاق الترددي الإجمالي لموقع الحساب وعدد مستخدمي SDP. بالإضافة إلى ذلك، يمكن أن تؤثر الخدمات المفعلة للحساب على متطلبات الأحداث. على سبيل المثال، إذا تم تمكين جدار الحماية للشبكة المحلية، فإن ذلك سيزيد من متطلبات الأحداث بما يتناسب مع كمية حركة مرور الشبكة المحلية وأي حركة مرور تولد الأحداث.

توفر الجداول أدناه للمساعدة في تقدير الأحداث الذروية التي تولد في الساعة. اتبع هذا الإجراء لحساب المتطلبات من الجداول:

  1. ابحث عن الصف في الجدول إجمالي عرض النطاق الترددي الذي يتوافق مع ذروة العرض المرخصة للشبكة. اقرأ التقدير أحداث الذروة لكل ساعة التي سيتم توليدها
  2. ابحث عن الصف في الجدول عملاء SDP الذي يتوافق مع عدد عملاء SDP في الاستخدام. اقرأ التقدير أحداث الذروة لكل ساعة التي سيتم توليدها
  3. أضف المجاميع من الخطوات 1 و2.
  4. اقسم إجمالي الأحداث لكل ساعة على 2.5 ملايين، وقم بتقريب العدد لأعلى، لتقدير عدد وحدات بحيرة البيانات المطلوبة لعرض الموقع وعملاء SDP.
  5. إذا كنت تستخدم خدمات متعددة من كايتو التي تولد عددًا كبيرًا من الأحداث، مثل CASB أو جدار الحماية LAN، أضف 1 وحدة بحيرة البيانات. (1 وحدة لعرض النطاق الترددي، 1 وحدة لمستخدمي SDP، و1 وحدة لـCASB وRBI)

جداول توليد الأحداث

استخدم هذه الجداول لتقدير عدد الأحداث الذروية في الساعة التي يتم توليدها للعميل. يفترضون أن العميل يقوم بتسجيل جميع الأحداث.

إجمالي عرض النطاق الترددي تقدير حدث الذروة لكل ساعة عملاء SDP تقدير حدث الذروة لكل ساعة
حتى 2.5Gbps 1,000,000 حتى 3K 1,000,000
2.5-6Gbps 5,000,000 3K-7K 5,000,000
6-9Gbps 7,500,000 7K-11K 7,500,000
9-12Gbps 10,000,000 11K-15K 10,000,000
12-15Gbps 12,500,000 15K-19K 12,500,000
15-18Gbps 15,000,000 19K-23K 15,000,000
18-21Gbps 17,500,000 23K-27K 17,500,000
21-24Gbps 20,000,000 27K-31K 20,000,000
24-27Gbps 22,500,000 31K-35K 22,500,000
27-30Gbps 25,000,000 35K-39K 25,000,000
30-33Gbps 27,500,000 39K-43K 27,500,000

تقدير المثال

في الجدول أعلاه:

  • إجمالي 3 جيجابت في الثانية عرض النطاق الترددي عبر جميع المواقع سيولد تقديرًا الذروة لـ خمسة ملايين حدث لكل ساعة
  • إجمالي 5000 عميل SDP سيولد إضافي تقدير الذروة لـ اثنين ونصف مليون حدث لكل ساعة
  • لذلك، يمكن للعميل توقع ذروة 5+2.5= 7.5 مليون حدث لكل ساعة (2 وحدات)
  • يستخدم العميل خدمة CASB وRBI (1 وحدة)
  • يمكن تغطية هذا بشراء ثلاثة وحدات تخزين بحيرة بيانات أخرى ذات مدة مناسبة.

تقدير الاحتفاظ الفعلي المطلوب

وحدة قياس وحدات Data Lake هي عدد الأحداث التي يتم توليدها لكل ساعة. حجم البيانات المعني ليس مستخدمًا في حساب أو شراء الوحدات الإضافية ولا يتم الإبلاغ عنه بواسطة CMA.

ومع ذلك، قد يرغب العملاء في تقدير التداعيات إذا كانوا يخططون لتصدير البيانات إلى التخزين الخارجي أو SIEM. يمكن للعملاء إجراء تقدير تقريبي لحجم البيانات المعني، عن طريق افتراض أن وحدة Data Lake واحدة (2.5 مليون حدث لكل ساعة) تعادل تقريبًا 180 جيجابايت شهريًا من تخزين البيانات، كما هو موضح في الجدول أدناه.

لاحظ أن هذا تقدير تقريبي للغاية. تعريف وحدات Data Lake الحد الأقصى لعدد الأحداث التي يمكن توليدها في ساعة. من الواضح أن العميل الذي يشتري وحدات للتعامل مع الذروات الكبيرة العرضية في توليد الأحداث سيكون له احتياج مختلف بشكل كبير عن عميل يشتري نفس العدد من الوحدات للتعامل مع عدد الأحداث المرتفع بشكل مستمر الذي يتم توليده.

يعرض الجدول التالي تقديرًا تقريبيًا جدًا لإجمالي جيجابايت وفقًا لفترة الاحتفاظ:

أحداث لكل ساعة وحدات إضافية من بحيرة البيانات جيجابايت لكل شهر (تقديري) 3 أشهر 6 أشهر 12 شهرًا
2.5 مليون 0 180 540 1080 2160
5 مليون 1 360 1080 2160 4320
7.5 مليون 2 540 2160 4320 8640

(*) بعض العقود مع Cato قد تحتوي على شروط تختلف عن المعلومات الواردة في هذه المقالة

هل كان هذا المقال مفيداً؟

4 من 4 وجدوا هذا مفيداً

لا توجد تعليقات