تتناول هذه المقالة تفاصيل معدل توليد الأحداث واحتفاظ البيانات لخدمة كايتو لبحيرة البيانات وحسابك.
تحتوي كايتو لبحيرة البيانات على البيانات التي تسجلها الخدمات المختلفة في منصة كايتو، مثل الشبكات، الأمن، الوصول وما إلى ذلك. يتم إضافة بيانات مثل معلومات الأحداث إلى بحيرة البيانات في الوقت الفعلي وتحتفظ بها لفترة زمنية محددة، كما هو معرف بعقد العميل. تستخدم كايتو وحدات بحيرة البيانات لتعريف احتفاظ بيانات العملاء وفقاً لـ:
-
معدل الأحداث طوال الساعة (حالياً بوحدات 2.5 مليون حدث في الساعة)
-
وقت الاحتفاظ (مثلاً، 3 أشهر، 6 أشهر، إلخ..)
يتم التخلص من البيانات التي تتجاوز شروط وحدة بحيرة البيانات. على سبيل المثال، إذا كان هناك أكثر من 2.5 مليون حدث في الساعة أو بيانات تجاوزت 3 أشهر.
كجزء من منصة كايتو، تتلقى الحسابات وحدة واحدة من بحيرة البيانات تتضمن حد معدل الأحداث من 2.5 مليون حدث في الساعة وفترة احتفاظ 3 أشهر. يستطيع العملاء اختيار شراء وحدات بحيرة بيانات إضافية لزيادة معدل الأحداث الساعة و/أو زيادة وقت الاحتفاظ بالأحداث.
يمكن للعملاء أيضاً استخدام تكاملات مختلفة لتوجيه بياناتهم إلى تخزين سحابي خارجي وأدوات SIEM بدون تكلفة إضافية.
تنطبق هذه المعلومات في هذه المقالة على حسابات كاتو بدءًا من 1 يناير 2024(*)
يتم الاحتفاظ بالأحداث في الوقت الفعلي ويمكن تتبعها في تطبيق إدارة كايتو (CMA) في صفحة الأحداث (الرئيسية > الأحداث).
-
تحافظ كايتو على مجموعة أساسية من الأحداث الرئيسية في الأمن والاتصال لكل عميل
-
يمكن للعملاء اختيار، ضمن السياسات، أحداث إضافية ليتم توليدها والاحتفاظ بها
-
تحدد رخص العملاء الحد الأقصى لمعدل الساعة لعدد الأحداث التي يتم توليدها والاحتفاظ بها
-
يتم التخلص من الأحداث الزائدة عن هذا العدد لبقية الساعة
-
لمزيد من المعلومات حول تحسين الأحداث المولدة، راجع أفضل ممارسات لتخزين سجلات الأحداث لكايتو والاستيعاب
يخضع بحيرة البيانات لحدود معدل تستند إلى عدد الأحداث المولدة في الساعة.
يتم تتبع عدد الأحداث التي تم توليدها لحسابك في الساعة الأخيرة بواسطة عداد.
-
في بداية كل ساعة، يتم إعادة تعيين العداد
-
عندما يصل عدد الأحداث إلى حد تعيينه للعميل، يتم التخلص من الأحداث الإضافية لبقية تلك الساعة
ومع ذلك، تستمر كايتو في الاحتفاظ بأحداث النظام المتعلقة بعمليات كايتو
-
بشكل عام، يسمح Cato بمجال حركة أعلى من العتبة لتقليل احتمال تجاهل الأحداث
التفاصيل لتحديد معدلات الأحداث الافتراضية لكايتو تستند إلى وحدات بحيرة البيانات التي يملكها الحساب:
-
تسمح كايتو بوحدة واحدة لبحيرة البيانات مجاناً (حالياً 2.5 مليون حدث في الساعة)
-
إذا تم توليد أحداث أكثر من وحدات بحيرة البيانات المرخصة، يتم التخلص من الأحداث الزائدة لبقية الساعة
-
لمنع تجاهل الأحداث، يمكن للعملاء شراء وحدات Data Lake إضافية
ننصحك بشراء وحدات بحيرة بيانات إضافية لتلبية متطلبات البيانات لمنظمتك، لمزيد من المعلومات، انظر أدناه تقدير متطلبات الأحداث بدون سجل الأحداث.
للعقود والتجديدات التي تبدأ اعتباراً من 1 يناير 2024، تكون فترة الاحتفاظ الافتراضية للأحداث هي 3 أشهر.
-
بعد فترة الاحتفاظ (مثلاً، بعد 3 أشهر)، يتم التخلص من بيانات الأحداث
-
يمكن للعملاء شراء احتفاظ بالبيانات إضافي إذا رغبوا في الاحتفاظ ببيانات الأحداث لأكثر من ثلاثة أشهر
إذا اختار العميل دفع ثمن احتفاظ بيانات إضافي، لا يتم احتساب الاحتفاظ المجاني الذي يتم توفيره افتراضياً: جميع الاحتفاظ بالأحداث يخضع لرسوم.
-
لمزيد من المعلومات حول شراء احتفاظ بيانات إضافي، يرجى الاتصال بممثل كايتو الخاص بك.
يدعم كايتو الخيارات التالية لتخزين الأحداث:
-
مباشرة في تطبيق إدارة كايتو (انظر تحليل الأحداث في شبكتك)
-
تغذية على نطاق واسع إلى التخزين السحابي، مثل AWS S3 و Azure Blob Storage
-
باستخدام واجهة برمجة التطبيقات Cato
بشكل افتراضي، كل حساب يحتوي على وحدات بحيرة البيانات التالية:
-
معدل الأحداث في الساعة (حالياً بوحدات 2.5 مليون حدث في الساعة)
-
وقت الاحتفاظ (مثال: 3 أشهر، 6 أشهر، إلخ...)
يمكنك اختيار شراء وحدات بحيرة بيانات إضافية لزيادة معدل الأحداث في الساعة و/أو مدة الاحتفاظ.
تحدد وحدات بحيرة البيانات عدد الأحداث الذروة التي يمكن إنتاجها في الساعة. لا يؤثر فترة عندما يتم إنتاج عدد أقل من الأحداث في الساعة على العدد الذي يمكن إنتاجه في الساعات المستقبلية.
كل وحدة بحيرة بيانات يتم شراؤها لزيادة الحد بمقدار 2.5 مليون حدث في الساعة. لذلك، كمثال:
-
تسمح وحدتان من بحيرة البيانات بإضافة 2.5 مليون حدث في الساعة (حتى 5 مليون حدث في الساعة إجمالاً)
-
ثلاث وحدات ستسمح بإضافة 5 ملايين حدث في الساعة (حتى 7.5 مليون حدث في الساعة إجمالاً)
تتوفر وحدات بحيرة البيانات بثلاثة إصدارات، وفقا للفترة المطلوبة للاحتفاظ:
-
وحدة ثلاثة أشهر
-
وحدة ستة أشهر
-
وحدة اثني عشر شهراً
التنوع المختار ينطبق على جميع وحدات البيانات، لا يمكن مزج الوحدات.
يظهر الجدول أدناه استخدام وحدات بحيرة البيانات لتلبية متطلبات تخزين الأحداث للعميل.
|
عدد الأحداث القصوى المنتجة في الساعة |
الفترة المطلوبة للاحتفاظ |
الوحدات الإضافية لبحيرة البيانات المطلوبة |
نوع وحدة بحيرة البيانات المطلوبة |
|---|---|---|---|
|
حتى 2.5 مليون |
3 أشهر |
0 |
غير متوفر |
|
حتى 2.5 مليون |
6 أشهر |
1 |
وحدة 6 أشهر |
|
حتى 5 ملايين |
3 أشهر |
1 |
وحدة 3 أشهر |
|
حتى 7.5 مليون |
12 شهراً |
2 |
وحدة 12 شهراً |
يستطيع العملاء ذوو أداء مستقر في توليد الأحداث تفحص خريطة الأحداث في CMA لرؤية عدد الأحداث التي تتحقق. يمكنهم استخدام الذروات في هذه الخريطة للنظر في متطلبات تحديد معدل الأحداث الخاصة بهم.
في مخطط المثال أدناه، تصل الذروات إلى أقصى حد يزيد قليلاً عن 400,000 حدث في الساعة. سيتم تغطية هذا بوحدة بحيرة البيانات الفردية المجانية.
في مخطط المثال أدناه، يتجاوز عدد الأحداث في الساعة 2.5 مليون كل ساعة، وتقترب أعلى قمة من 3 ملايين. هذا أكثر مما يمكن تغطيته بواسطة الحد الافتراضي لمعدل الأحداث لوحدة واحدة من بحيرة البيانات. ستغطي وحدة إضافية واحدة هذه متطلبات التخزين، مما يسمح بتوليد حتى 5 ملايين حدث في الساعة.
لاحظ أن الارتفاع الدقيق لكل شريط يمكن فحصه بتحريك المؤشر فوق الشريط، كما هو موضح في الرسم البياني أدناه.
نقاط إضافية يجب ملاحظتها:
-
تغطي هذه الأمثلة فترة صغيرة، من أجل الراحة. سيكون من الحكمة إجراء تحليل لفترة أطول.
-
ستتغير الفترة الزمنية الممثلة بواسطة كل شريط وفقاً للفترة الزمنية التي تغطيها الخريطة. انتبه إلى دقة السلاسل الزمنية أثناء تغيير الفترة الزمنية المغطاة.
تساعدك هذه الفقرة في إنشاء تقدير مبدئي خشن للأحداث الذروية في الساعة لفهم عدد وحدات بحيرة البيانات المطلوبة. ننصح بمراقبة معدلات الأحداث الفعلية باستمرار وتعديلها حسب الضرورة. يعتمد عدد الأحداث الفعلية التي تُنتج في الساعة على عدة متغيرات، مثل أنماط حركة المرور وتكوين تسجيل السياسات. لمزيد من المعلومات، انظر أفضل ممارسات لتخزين سجلات الأحداث لكايتو والاستيعاب.
يرتبط توليد الأحداث بإجمالي عرض النطاق المستخدم عبر الشبكة وعدد مستخدمي SDP المدعومين. يمكن للعملاء الذين ليس لديهم سجل توليد أحداث تقدير احتياجاتهم المتوقعة من تحديد معدل الأحداث عن طريق إضافة مجموع عرض النطاق الترددي الإجمالي لموقع الحساب وعدد مستخدمي SDP. بالإضافة إلى ذلك، يمكن أن تؤثر الخدمات المفعلة للحساب على متطلبات الأحداث. على سبيل المثال، إذا تم تمكين جدار الحماية للشبكة المحلية، فإن ذلك سيزيد من متطلبات الأحداث بما يتناسب مع كمية حركة مرور الشبكة المحلية وأي حركة مرور تولد الأحداث.
توفر الجداول أدناه للمساعدة في تقدير الأحداث الذروية التي تولد في الساعة. اتبع هذا الإجراء لحساب المتطلبات من الجداول:
-
اعثر على السطر في جدول عرض النطاق الترددي الكلي الذي يتوافق مع عرض النطاق الترددي المرخص الذروي للشبكة. اقرأ ما يقدر على أنه الأحداث الذروية في الساعة التي سيتم توليدها
-
اعثر على السطر في جدول عملاء SDP الذي يتوافق مع عدد عملاء SDP المستخدمة. اقرأ ما يقدر على أنه الأحداث الذروية في الساعة التي سيتم توليدها
-
أضف المبالغ من الخطوتين 1 و2.
-
اقسم إجمالي الأحداث في الساعة على 2.5 مليون، ودوّر لأعلى، لتقدير عدد وحدات بحيرة البيانات المطلوبة لعرض النطاق الترددي للموقع وعملاء SDP.
-
إذا كنت تستخدم عدة خدمات Cato التي تولد عددًا كبيرًا من الأحداث، مثل CASB أو جدار الحماية LAN، أضف وحدة Data Lake واحدة. (وحدة واحدة لعرض النطاق الترددي، وحدة واحدة لمستخدمي SDP، ووحدة واحدة لـ CASB و RBI)
استخدم هذه الجداول لتقدير عدد الأحداث الذروية في الساعة التي يتم توليدها للعميل. يفترضون أن العميل يقوم بتسجيل جميع الأحداث.
|
إجمالي عرض النطاق الترددي |
الأحداث الذروة المقدرة لكل ساعة |
عملاء SDP |
الأحداث الذروة المقدرة لكل ساعة |
|---|---|---|---|
|
حتى 2.5Gbps |
1,000,000 |
حتى 3K |
1,000,000 |
|
2.5-6Gbps |
5,000,000 |
3K-7K |
5,000,000 |
|
6-9Gbps |
7,500,000 |
7K-11K |
7,500,000 |
|
9-12Gbps |
10,000,000 |
11K-15K |
10,000,000 |
|
12-15Gbps |
12,500,000 |
15K-19K |
12,500,000 |
|
15-18Gbps |
15,000,000 |
19K-23K |
15,000,000 |
|
18-21Gbps |
17,500,000 |
23K-27K |
17,500,000 |
|
21-24Gbps |
20,000,000 |
27K-31K |
20,000,000 |
|
24-27Gbps |
22,500,000 |
31K-35K |
22,500,000 |
|
27-30Gbps |
25,000,000 |
35K-39K |
25,000,000 |
|
30-33Gbps |
27,500,000 |
39K-43K |
27,500,000 |
في الجدول أعلاه:
-
إجمالي عرض النطاق الترددي 3 Gbps عبر جميع المواقع سوف يولد ذروة مقدرة الذروة لـ خمسة مليون حدث لكل ساعة
-
إجمالي 5,000 عميل SDP سوف يولد تقديرًا إضافيًا لـ ذروة مليونين ونصف أحداث لكل ساعة
-
لذلك، يمكن للعميل توقع ذروة من 5+2.5= 7.5 مليون حدث لكل ساعة (٢ وحدتان)
-
يستخدم العميل خدمة CASB وRBI (١ وحدة واحدة)
-
يمكن تغطية ذلك بشراء ثلاثة وحدات تخزين Data Lake إضافية من المدة المناسبة.
وحدة قياس وحدات Data Lake هي عدد الأحداث التي يتم توليدها لكل ساعة. حجم البيانات المعني ليس مستخدمًا في حساب أو شراء الوحدات الإضافية ولا يتم الإبلاغ عنه بواسطة CMA.
ومع ذلك، قد يرغب العملاء في تقدير التداعيات إذا كانوا يخططون لتصدير البيانات إلى التخزين الخارجي أو SIEM. يمكن للعملاء إجراء تقدير تقريبي لحجم البيانات المعني، عن طريق افتراض أن وحدة Data Lake واحدة (2.5 مليون حدث لكل ساعة) تعادل تقريبًا 180 جيجابايت شهريًا من تخزين البيانات، كما هو موضح في الجدول أدناه.
لاحظ أن هذا تقدير تقريبي للغاية. تعريف وحدات Data Lake الحد الأقصى لعدد الأحداث التي يمكن توليدها في ساعة. من الواضح أن العميل الذي يشتري وحدات للتعامل مع الذروات الكبيرة العرضية في توليد الأحداث سيكون له احتياج مختلف بشكل كبير عن عميل يشتري نفس العدد من الوحدات للتعامل مع عدد الأحداث المرتفع بشكل مستمر الذي يتم توليده.
يعرض الجدول التالي تقديرًا تقريبيًا جدًا لإجمالي جيجابايت وفقًا لفترة الاحتفاظ:
|
الأحداث لكل ساعة |
وحدات Data Lake إضافية |
جيجابايت شهريًا (مقدر) |
3 أشهر |
6 أشهر |
12 شهرًا |
|---|---|---|---|---|---|
|
2.5 مليون |
0 |
180 |
540 |
1080 |
2160 |
|
5 مليون |
1 |
360 |
1080 |
2160 |
4320 |
|
7.5 مليون |
2 |
540 |
2160 |
4320 |
8640 |
(*) بعض العقود مع Cato قد تحتوي على شروط تختلف عن المعلومات الواردة في هذه المقالة
لا توجد تعليقات
الرجاء تسجيل الدخول لترك تعليق.