この記事では、Catoデータレイクおよびアカウントのイベント生成率とデータ保持に関する詳細について説明します。
Catoデータレイクには、ネットワーク、セキュリティ、アクセスなど、Catoプラットフォームのさまざまなサービスによって記録されたデータが含まれています。 イベント情報などのデータはリアルタイムでデータレイクに追加され、顧客契約で定義された特定の期間保持されます。 Catoはデータレイクユニットを使用して、顧客データ保持を以下のように定義します:
- 毎時イベントレート(現在、1時間あたり250万イベント単位)
- 保持期間(例: 3ヶ月、6ヶ月など)
データレイクユニットの条件を超えるデータは破棄されます。 例えば、1時間内に2.5百万以上のイベントがある場合や、データが3ヶ月以上古い場合などです。
Catoプラットフォームの一部として、アカウントには毎時2.5百万イベントのイベントレート制限と3ヶ月の保持期間を含む単一のデータレイクユニットが提供されます。 顧客は、毎時イベントレートの増加および/またはイベント保持時間の延長のために、追加のデータレイクユニットを購入することを選択できます。
顧客は、追加料金なしで、さまざまな統合を利用してデータを外部クラウドストレージおよびSIEMに転送することもできます。
この記事の情報は、2024年1月1日からのCatoアカウントに適用されます(*)。
イベントはリアルタイムで保持され、イベントページ (ホーム > イベント)のCato管理アプリケーション(CMA)で追跡できます。
- Catoは、各顧客のために、キーセキュリティイベントおよび接続イベントのコアセットを保持します。
- 顧客は、ポリシー内で生成および保持される追加のイベントを選択できます。
-
顧客ライセンスは、生成および保持されるイベントの最大数の毎時レート制限を定義します
- この数を超えるイベントは、残りの時間内に破棄されます。
生成されたイベントを最適化するための詳細情報については、Catoイベントログストレージと取り込みのベストプラクティスを参照してください
データレイクは、毎時生成されるイベントの数に基づいてレート制限の対象となります。
過去1時間にアカウントに対して発生したイベント数は、一意の指標によってトラッキングされています。
- 各時間の開始時にカウンターはリセットされます
-
イベント数が顧客のために設定されたしきい値に達すると、その時間の残りのイベントは破棄されます
しかし、CatoはCatoプロセスに関連するシステムイベントを保持し続けます
- Catoは通常、イベントが破棄される可能性を減らすために、しきい値を上回る余裕を許可します
イベントのデフォルトのCatoレート制限の詳細は、アカウントが所有するデータレイク単位に基づいています:
- Catoは、無料で最大1つのデータレイクユニットを許可します(現在は1時間あたり250万イベント)
- ライセンスされたデータレイクユニットを超えるイベントが生成された場合、余分なイベントは残りの時間に対して破棄されます
- イベントの破棄を防ぐために、顧客は追加のデータレイクユニットを購入することができます
貴社のデータ要件を満たすために追加のデータレイクユニットを購入することをお勧めします。詳細については、以下のイベント履歴なしでのイベント要件の見積もりを参照してください。
2024年1月1日から開始される契約および更新については、イベントのデフォルトの保持期間は3ヶ月です
- 保持期間後(つまり3ヶ月後)、イベントデータは破棄されます
- 顧客は、3ヶ月以上イベントデータを保持したい場合、追加のデータ保持を購入できます
顧客が追加のデータ保持に対して支払いを選択した場合、デフォルトで提供される無料の保持に対する許可はありません:すべてのイベント保持は課金対象です。
- 追加のデータ保持の購入について詳しくは、Catoの担当者にお問い合わせください。
Catoは以下のイベントストレージオプションをサポートしています:
- Cato管理アプリケーションで直接(ネットワーク内のイベントを分析する)
- AWS S3やAzure Blob Storageのようなクラウドストレージへの大規模フィードへ
- Cato APIを使用中
デフォルトで、各アカウントのデータレイクの単位は次のとおりです:
- 毎時イベントレート(現在は1時間あたり250万イベントの単位)
- 保持時間(つまり、3ヶ月、6ヶ月など)
毎時イベント数および/または保持期間を延ばすために追加のデータレイク単位を購入できます。
データレイクの単位は、毎時生成可能なイベント数の最大値を定義します。 毎時生成されるイベントが少ない期間は、将来の時間で生成できるイベント数に影響を与えません。
各データレイク単位は、毎時2.5百万イベント数のレート制限を増加させるために購入されます。 したがって、たとえば:
- 2つのデータレイクユニットは、追加で1時間あたり250万イベント(最大1時間あたり500万イベント合計)を許可します
- 3ユニットでは、追加で1時間あたり500万イベント(最大1時間あたり750万イベント合計)を許可します
データレイク単位は、要求される保持期間に応じて3つのバリアントで利用可能です:
- 3ヶ月単位
- 6ヶ月単位
- 12ヶ月単位
選択されたバリアントはすべてのデータ単位に適用され、単位の混在はできません。
安定したイベント生成履歴を持つ顧客は、CMAでイベントチャートを検査して、生成されているイベントの数を確認できます。 彼らはこのチャートのピークを利用して、イベントレート制限の要件を検討することができます。
以下の例のチャートでは、ピークは毎時間40万イベント数を上限とする。 これはフリーの単一のデータレイクユニットでカバーされます。
以下の例のチャートでは、毎時間イベント数が250万を超え、最高ピークは300万に近づく。 これは1ユニットのデータレイクにおけるデフォルトのイベント数制限を上回る。 追加の1ユニットでこれらのストレージ要件をカバーし、1時間あたり最大500万イベント数を生成することが許可される。
各バーの正確な高さは、以下のチャートに示されているように、カーソルをバーの上にホバーさせることで確認できます。
注意すべきさらにいくつかの点:
- これらの例は、利便性のために短い期間をカバーしています。 より長い分析期間が賢明です。
- 各バーが表す期間は、グラフがカバーする期間に応じて変更されます。 カバーされる期間が変更されるときには、時系列の粒度に注意してください。
このセクションは、1時間あたりのピークイベントのおおよその初期見積もりを作成して、必要なデータレイクユニット数を理解するのに役立ちます。 実際のイベントレートを継続的に監視し、必要に応じて調整することをお勧めします。 1時間あたりに生成される実際のイベントは、トラフィックパターンやポリシーログ構成などの複数の変数に依存します。 詳細については、Cato Event Log Storage and Ingestionのベストプラクティスをご覧ください。
イベント生成は、ネットワーク全体で使用中の帯域幅の総量とサポートされているSDPユーザーの数の両方に相関しています。 イベント生成の履歴がない顧客は、合計アカウントサイト帯域幅とSDPユーザー数を合計することで、イベントレート制限の要件を推定できます。 さらに、アカウントのために有効化されたサービスもイベント要件に影響を与える可能性があります。 例えば、LANファイアウォールが有効になっている場合、LANトラフィック量とイベントを生成するトラフィックに応じてイベント要件が増加します。
1時間あたりに生成されるピークイベントを推定するために、以下にテーブルが提供されています。 テーブルから要件を計算するには、この手順に従ってください:
- ネットワーク用のピークのライセンス帯域幅に対応する総帯域幅テーブルの行を見つける。 生成される推定ピーク 毎時イベント数を参照のみ
- 使用中のSDPクライアントの数に対応するSDPクライアントテーブルの行を見つける。 生成される推定ピーク 毎時イベント数を参照のみ
- ステップ1と2の合計を追加する。
- サイト帯域幅およびSDPクライアントに必要なデータレイクユニットの数を見積もるために、1時間あたりの総イベント数を250万で割り、切り上げる。
- 大容量のイベントを生成する複数のCatoサービス(CASBやLANファイアウォールなど)を使用している場合、データレイクユニットを1つ追加する。 (帯域幅用に1ユニット、SDPユーザー用に1ユニット、CASBおよびRBI用に1ユニット)
これらのテーブルを使用して、顧客用に生成された時間当たりのピークイベント数を推定してください。 彼らは顧客が全てのイベントをログに記録していると仮定しています。
| 総帯域幅 | 推定ピークの毎時イベント数 | SDPクライアント | 推定ピークの毎時イベント数 |
|---|---|---|---|
| 最大2.5Gbps | 1,000,000 | 最大3K | 1,000,000 |
| 2.5-6Gbps | 5,000,000 | 3K-7K | 5,000,000 |
| 6-9Gbps | 7,500,000 | 7K-11K | 7,500,000 |
| 9-12Gbps | 10,000,000 | 11K-15K | 10,000,000 |
| 12-15Gbps | 12,500,000 | 15K-19K | 12,500,000 |
| 15-18Gbps | 15,000,000 | 19K-23K | 15,000,000 |
| 18-21Gbps | 17,500,000 | 23K-27K | 17,500,000 |
| 21-24Gbps | 20,000,000 | 27K-31K | 20,000,000 |
| 24-27Gbps | 22,500,000 | 31K-35K | 22,500,000 |
| 27-30Gbps | 25,000,000 | 35K-39K | 25,000,000 |
| 30-33Gbps | 27,500,000 | 39K-43K | 27,500,000 |
データレイクユニットの測定単位は、1時間あたりに生成されるイベント数です。 関与するデータのボリュームは、追加ユニットの計算または購入に使用されることはなく、CMAによって報告されません。
ただし、顧客がデータを外部ストレージまたはSIEMにエクスポートする予定がある場合、その影響を推定したいかもしれません。 以下の表に示すように、顧客は1つのデータレイクユニット(1時間あたり250万イベント)が毎月おおよそ180 GBのデータストレージに相当すると仮定して、関与するデータのボリュームをおおまかに推定できます。
これは非常におおまかな推定値です。 データレイクユニットは、1時間に生成できるイベントの最大数を定義します。 顧客が偶発的な大規模イベント生成のピークに対応するためにユニットを購入する場合、その外部ストレージの要件は、常に高いイベント数を生成するために同じ数のユニットを購入する顧客とは非常に異なります。
以下のテーブルは、保持期間に基づく合計GBの非常に大まかな見積もりを示しています:
| 毎時イベント数 | 追加データレイクユニット | GB/月(推定) | 3ヶ月 | 6ヶ月 | 12ヶ月 |
|---|---|---|---|---|---|
| 2.5百万 | 0 | 180 | 540 | 1080 | 2160 |
| 5百万 | 1 | 360 | 1080 | 2160 | 4320 |
| 7.5百万 | 2 | 540 | 2160 | 4320 | 8640 |
(*) カトとのいくつかの契約にはこの記事の情報とは異なる条件が含まれている場合があります
0件のコメント
サインインしてコメントを残してください。