이 문서에서는 Cato 데이터 레이크와 계정의 이벤트 생성률 및 데이터 보존에 대한 세부 정보.
Cato 데이터 레이크에는 네트워킹, 보안, 접근 권한 등의 다양한 Cato 플랫폼 서비스에 의해 기록된 데이터가 포함되어 있습니다. 이벤트 정보와 같은 데이터는 실시간으로 데이터 레이크에 추가되며, 고객의 계약에 정의된 특정 기간 동안 보존됩니다. Cato는 다음에 따라 고객 데이터 보존을 정의하기 위해 데이터 레이크 단위를 사용합니다:
- 매시간 이벤트 비율(현재 시간당 2.5백만 이벤트 단위)
- 보존 시간(예: 3개월, 6개월 등)
데이터 레이크 단위의 약관을 초과하는 데이터는 삭제됩니다. 예를 들어, 한 시간 내에 2.5백만 이상의 이벤트가 발생하거나 3개월이 지난 데이터입니다.
Cato 플랫폼의 일부로, 계정은 시간당 2.5백만 이벤트의 이벤트 비율 제한과 3개월 보존 기간을 포함하는 단일 데이터 레이크 단위를 받습니다. 고객은 시간당 이벤트 비율 증가 및/또는 이벤트 보존 시간 증가를 위해 추가 데이터 레이크 단위를 구매할 수 있습니다.
고객은 또한 추가 비용 없이 외부 클라우드 스토리지 및 SIEM으로 데이터를 전달하기 위해 다양한 통합을 사용할 수 있습니다.
이 문서의 정보는 2024년 1월 1일(*)부터 Cato 계정에 적용됩니다.
이벤트는 실시간으로 보존되며, Cato 관리 애플리케이션(CMA)의 이벤트 페이지(홈페이지 > 이벤트)에서 추적할 수 있습니다.
- Cato는 각 고객에 대해 핵심 보안 및 연결성 이벤트를 보존합니다
- 고객은 정책 내에서 추가 이벤트를 생성하고 보존하도록 선택할 수 있습니다
-
고객 라이센스는 생성 및 보존되는 최대 이벤트 수에 대한 시간당 속도 제한을 정의합니다
- 이 숫자를 초과하는 이벤트는 남은 시간 동안 폐기됩니다
생성된 이벤트 최적화에 대한 더 많은 정보를 얻으려면, Cato 이벤트 로그 저장 및 수집에 대한 모범 사례를 참조하십시오
데이터 레이크는 시간당 생성되는 이벤트 수에 기반하여 비율 제한을 받고 있습니다.
마지막 한 시간 동안 계정에 대해 생성된 이벤트 수는 카운터에 의해 추적됩니다.
- 매시간 시작 시, 카운터가 재설정됩니다.
-
고객을 위해 설정된 임계값에 도달하면, 그 시간 동안 나머지 추가 이벤트는 삭제됩니다
그러나 Cato는 Cato 프로세스와 관련된 시스템 이벤트를 계속하여 보존합니다
- Cato는 일반적으로 임계값을 초과하는 여유를 허용하여 이벤트를 버릴 가능성을 줄입니다.
이벤트에 대한 기본 Cato 비율 제한의 세부 사항은 계정 소유의 데이터 레이크 단위를 기반으로 합니다:
- Cato는 최대 1개의 데이터 레이크 유닛을 무료로 허용합니다(현재 시간당 250만 이벤트).
- 라이선스된 데이터 레이크 유닛보다 더 많은 이벤트가 생성되면 나머지 시간 동안 초과 이벤트는 버려집니다.
- 이벤트를 버리지 않기 위해, 고객은 추가 데이터 레이크 유닛을 구입할 수 있는 옵션이 있습니다.
조직의 데이터 요구 사항을 충족하기 위해 추가 데이터 레이크 유닛을 구입할 것을 권장합니다. 자세한 내용은 아래를 참조하십시오 이벤트 기록이 없는 경우 이벤트 요구 사항 추정.
계약 및 갱신은 2024년 1월 1일부터 시작하며, 기본 이벤트 보존 기간은 3개월입니다.
- 보존 기간(예: 3개월)이 지나면 이벤트 데이터가 버려집니다.
- 고객은 3개월 이상 이벤트 데이터를 보관하기 위해 추가 데이터 보존을 구매할 수 있습니다.
고객이 추가 데이터 보존에 대한 비용을 지불을 선택한 경우 기본적으로 제공되는 무료 보존은 인정되지 않습니다: 모든 이벤트 보존은 과금 대상입니다.
- 추가 데이터 보존 구매에 대한 더 많은 정보를 원하시면, Cato 담당자에게 문의하십시오.
카토는 다음과 같은 이벤트 저장 옵션을 지원합니다:
- 직접 Cato 관리 애플리케이션에서 (네트워크의 이벤트 분석 참고)
- AWS S3 및 Azure Blob Storage와 같은 클라우드 스토리지로 대규모 피드 전송
- Cato API 사용
기본적으로 각 계정에는 다음 데이터 레이크 단위가 포함되어 있습니다:
- 시간당 이벤트 수 (현재 시간당 250만 단위)
- 보존 기간 (예: 3개월, 6개월 등...)
매시간 이벤트율 및/또는 보존 시간을 늘리기 위해 추가 데이터 레이크 단위를 구매할 수 있습니다.
데이터 레이크 단위는 매시간 생성할 수 있는 최대 이벤트 수를 정의합니다. 매시간 더 적은 이벤트가 생성되는 기간은 이후 시간에 생성할 수 있는 수에 영향을 미치지 않습니다.
각 데이터 레이크 단위는 매시간 이벤트 수를 2.5백만으로 증가시키기 위해 구매됩니다. 따라서 예를 들어:
- 두개의 데이터 레이크 유닛은 시간당 추가로 250만 이벤트를 허용합니다 (총 500만 이벤트까지)
- 세개의 유닛은 시간당 500만 이벤트를 추가로 허용합니다 (총 750만 이벤트까지)
데이터 레이크 단위는 필요한 보존 기간에 따라 세 가지 변형으로 제공됩니다:
- 3개월 유닛
- 6개월 유닛
- 12개월 유닛
선택한 변형은 모든 데이터 단위에 적용되며, 단위를 혼합할 수 없습니다.
안정적인 이벤트 생성 내역이 있는 고객은 CMA에서 이벤트 차트를 검사하여 생성된 이벤트 수를 확인할 수 있습니다. 그들은 이 차트의 최고점을 사용하여 이벤트 속도 제한 요구를 고려할 수 있습니다.
아래 예시 차트에서, 최고점은 시간당 400,000개 이상의 이벤트에 도달합니다. 이는 무료 단일 데이터 레이크 단위에 의해 커버됩니다.
아래의 예시 차트에서, 매 시간당 이벤트 수가 2.5백만을 넘으며, 최고점은 3백만에 도달합니다. 이는 1 데이터 레이크 단위에 대한 기본 이벤트 속도 제한을 초과합니다. 1개의 추가 단위는 이러한 저장 요구를 충족시키며, 시간당 최대 5백만 개의 이벤트를 생성할 수 있습니다.
아래 차트에서와 같이, 막대 위에 커서를 올려놓으면 각 막대의 정확한 높이를 검사할 수 있습니다.
추가로 주의할 사항:
- 이 예제들은 편의를 위해 짧은 기간을 다룹니다. 더 긴 분석 기간이 더 바람직할 것입니다.
- 각 막대가 나타내는 시간 기간은 차트에 의해 다루는 시간 기간에 따라 변경됩니다. 시간 기간을 변경할 때 시간 시리즈 세분성이 주의할 필요가 있습니다.
이 섹션은 시간당 최고 이벤트의 초기 대략적인 추정을 생성하여 필요한 데이터 레이크 단위 수를 이해하는 데 도움을 줍니다. 우리는 실제 이벤트 속도를 지속적으로 모니터링하고 필요에 따라 조정할 것을 권장합니다. 시간당 실제로 생성되는 이벤트는 트래픽 패턴과 정책 로그 구성과 같은 여러 변수에 따라 달라집니다. 자세한 내용은 Cato 이벤트 로그 저장 및 수용 모범 사례를 참조하십시오.
이벤트 생성은 네트워크 전반의 사용 중인 총 대역폭과 지원되는 SDP 사용자 수와의 관계가 있습니다. 이벤트 생성 내역이 없는 고객은 총 계정 사이트 대역폭 합과 SDP 사용자 수를 더하여 잠재적인 이벤트 속도 제한 요구를 추정할 수 있습니다. 추가로, 계정에 대해 활성화된 서비스 또한 이벤트 요구에 영향을 미칠 수 있습니다. 예를 들어, LAN 방화벽이 활성화된 경우, 이는 LAN 트래픽의 양과 이벤트를 생성하는 트래픽에 비례하여 이벤트 요구를 증가시킬 것입니다.
아래에 시간당 생성되는 최고 이벤트를 추정하고자 테이블이 제공됩니다. 테이블에서 요구사항을 계산하기 위해 이 절차를 따르십시오:
- 네트워크를 위한 최대 라이선스 대역폭에 해당하는 총 대역폭 테이블의 행을 찾으십시오. 생성될 것으로 예상되는 시간당 최대 이벤트를 읽으십시오.
- 사용 중인 SDP 클라이언트 수에 해당하는 SDP 클라이언트 테이블의 행을 찾으십시오. 생성될 것으로 예상되는 시간당 최대 이벤트를 읽으십시오.
- 단계 1과 2의 합계를 추가하십시오.
- 사이트 대역폭과 SDP 클라이언트를 위한 필요한 데이터 레이크 유닛 수를 추정하기 위해 시간당 총 이벤트 수를 250만으로 나누고 올림하십시오.
- CASB 또는 LAN 방화벽과 같이 많은 수의 이벤트를 생성하는 여러 Cato 서비스를 사용하는 경우, 1개의 데이터 레이크 유닛을 추가하십시오. (대역폭 1유닛, SDP 사용자 1유닛, CASB 및 RBI 1유닛)
이 테이블을 사용하여 고객을 위해 시간당 발생할 최고 이벤트 수를 추정하십시오. 모든 이벤트를 기록하고 있다고 가정합니다.
| 총 대역폭 | 시간당 추정 최대 이벤트 수 | SDP 클라이언트 | 시간당 추정 최대 이벤트 수 |
|---|---|---|---|
| 최대 2.5Gbps | 1,000,000 | 최대 3K | 1,000,000 |
| 2.5-6Gbps | 5,000,000 | 3K-7K | 5,000,000 |
| 6-9Gbps | 7,500,000 | 7K-11K | 7,500,000 |
| 9-12Gbps | 10,000,000 | 11K-15K | 10,000,000 |
| 12-15Gbps | 12,500,000 | 15K-19K | 12,500,000 |
| 15-18Gbps | 15,000,000 | 19K-23K | 15,000,000 |
| 18-21Gbps | 17,500,000 | 23K-27K | 17,500,000 |
| 21-24Gbps | 20,000,000 | 27K-31K | 20,000,000 |
| 24-27Gbps | 22,500,000 | 31K-35K | 22,500,000 |
| 27-30Gbps | 25,000,000 | 35K-39K | 25,000,000 |
| 30-33Gbps | 27,500,000 | 39K-43K | 27,500,000 |
데이터 레이크 장치의 측정 단위는 시간당 생성되는 이벤트 수입니다. 데이터 볼륨은 아님 추가 단위 계산 또는 구매에 사용되지 않으며, CMA에 의해 보고되지 않습니다.
그러나 고객은 데이터를 외부 스토리지 또는 SIEM에 내보낼 계획인 경우 영향을 추정하고 싶을 수 있습니다. 고객은 아래 테이블에 설명된 대로 데이터 레이크 단위(시간당 2.5만 이벤트)가 대략적으로 매월 180GB의 데이터 저장소에 해당한다고 가정하여 관련 데이터 볼륨을 대략 추정할 수 있습니다.
참고: 이는 매우 대략적인 추정입니다. 데이터 레이크 단위는 시간당 생성할 수 있는 이벤트의 최대 수를 정의합니다. 고객이 가끔 발생하는 대형 이벤트 생성 피크를 처리하기 위해 단위를 구매하는 경우와 지속적으로 높은 수준의 이벤트 생성을 처리하기 위해 동일한 수의 단위를 구매하는 경우 외부 저장 요구 사항이 매우 다릅니다.
다음 테이블은 보존 기간에 따른 전체 GB의 매우 대략적인 추정치를 보여줍니다:
| 시간당 이벤트 수 | 추가 데이터 레이크 유닛 | GB per month (추정) | 3개월 | 6개월 | 12개월 |
|---|---|---|---|---|---|
| 2.5 million | 0 | 180 | 540 | 1080 | 2160 |
| 5 million | 1 | 360 | 1080 | 2160 | 4320 |
| 7.5 million | 2 | 540 | 2160 | 4320 | 8640 |
(*) Cato와의 일부 계약에는 이 글의 정보와 다른 조건이 포함될 수 있습니다
댓글 0개
댓글을 남기려면 로그인하세요.