Este artigo discute os detalhes da taxa de geração de eventos e retenção de dados para o Data Lake da Cato e sua conta.
O Data Lake da Cato contém os Dados registrados pelos diferentes Serviços na plataforma Cato, como Redes, Segurança, Acesso, e assim por diante. Dados como informações de Eventos são adicionados ao Data Lake em tempo real e retidos por um período específico, conforme definido pelo contrato do Cliente. A Cato usa unidades de Data Lake para definir a retenção de Dados do Cliente de acordo com:
-
Taxa de Eventos Horária (atualmente em unidades de 2,5 milhões de eventos por hora)
-
Tempo de Retenção (ou seja, 3 meses, 6 meses, etc.)
Os Dados que excedem os termos da unidade de Data Lake são Descartados. Por exemplo, se houver mais de 2,5 milhões de eventos dentro de uma Hora ou Dados com mais de 3 meses.
Como parte da plataforma Cato, as Contas recebem uma única unidade de Data Lake que inclui um limite de taxa de eventos de 2,5 milhões de eventos por Hora e um período de retenção de 3 meses. Os Clientes podem optar por comprar unidades adicionais de Data Lake para aumentar a taxa de eventos por Hora e/ou aumentar o tempo de retenção de eventos.
Os Clientes também podem usar diferentes Integrações para encaminhar seus Dados para Armazenamento na Nuvem externo e SIEMs sem custo adicional.
As informações neste artigo se aplicam às Contas da Cato a partir de 1º de janeiro de 2024(*).
Os Eventos são retidos em tempo real e podem ser acompanhados na Aplicação de Gerenciamento Cato (CMA) na página de Eventos (Inicial > Eventos).
-
A Cato retém um conjunto de núcleo de Eventos de segurança e conectividade chave para cada Cliente
-
Os Clientes podem selecionar, dentro de políticas, eventos adicionais para serem gerados e retidos
-
As Licenças do Cliente definem o limite de taxa Horária para o número máximo de eventos que são gerados e retidos
-
Os Eventos em excesso a este número são Descartados para o restante da Hora
-
Para mais informações sobre otimização de eventos gerados, consulte Melhores Práticas para Armazenamento e Ingestão de Logs de Eventos da Cato
O Data Lake está sujeito a limitação de taxa com base no número de Eventos gerados por Hora.
O número de Eventos que foram gerados para sua Conta na última Hora é acompanhado por um contador.
-
No início de cada Hora, o contador é Reiniciado
-
Quando o número de Eventos atinge um limite definido para o Cliente, eventos adicionais são Descartados para o restante dessa Hora
No entanto, a Cato continua a reter eventos do Sistema que estão relacionados aos Processos da Cato
-
A Cato geralmente permite espaço acima do limite, para reduzir a probabilidade de descarte
Os detalhes para a limitação de taxa padrão da Cato para eventos são baseados nas unidades de Data Lake possuídas por uma Conta:
-
A Cato permite até uma unidade de Data Lake, sem custo (atualmente 2,5 milhões de eventos por Hora)
-
Se mais eventos forem gerados do que as unidades de Data Lake licenciadas, os eventos excedentes são Descartados para o restante da Hora
-
Para evitar o descarte de eventos, os Clientes têm a opção de comprar unidades adicionais de Data Lake
Recomendamos que você compre unidades adicionais de Data Lake para atender aos requisitos de Dados da sua organização, para mais informações, veja abaixo Estimando Requisitos de Eventos sem um Histórico de Eventos.
Para contratos e renovações a partir de 1º de janeiro de 2024, o período de retenção padrão para eventos é de 3 meses.
-
Após o período de retenção (ou seja, após 3 meses), os dados dos eventos são Descartados
-
Os Clientes podem comprar retenção de Dados adicional se desejarem reter os dados dos eventos por mais de três meses
Se um Cliente optar por pagar por retenção de Dados adicional, nenhuma concessão é feita para a retenção gratuita que é fornecida por padrão: toda a retenção de eventos é cobrável.
-
Para mais informações sobre a compra de retenção de Dados adicional, por favor, contate seu representante da Cato.
A Cato suporta as seguintes opções de armazenamento de eventos:
-
Diretamente na Aplicação de Gerenciamento Cato (veja Analisando Eventos na Sua Rede)
-
Um feed de grande escala para Armazenamento na Nuvem como AWS S3 e Armazenamento de Blobs do Azure
-
Usando a API da Cato
Por padrão, cada Conta possui as seguintes unidades de Data Lake:
-
Taxa de Eventos Horária (atualmente em unidades de 2,5 milhões de eventos por Hora)
-
Tempo de retenção (por exemplo, 3 meses, 6 meses, etc..)
Você pode escolher comprar unidades adicionais de Data Lake para aumentar a taxa de eventos horária e/ou o tempo de retenção.
As unidades de Data Lake definem o número máximo de eventos que podem ser gerados por hora. Um período em que menos eventos são gerados por hora não terá influência no número que pode ser gerado em horas futuras.
Cada unidade de Data Lake é comprada para aumentar a limitação de taxa em 2,5 milhões de eventos por hora. Então, por exemplo:
-
Duas unidades de Data Lake permitem 2,5 milhões de eventos adicionais por hora (até 5 milhões de eventos por hora no total)
-
Três unidades permitirão 5 milhões de eventos adicionais por hora (até 7,5 milhões de eventos por hora no total)
As unidades de Data Lake estão disponíveis em três variantes, de acordo com o período de retenção necessário:
-
Uma unidade de três meses
-
Uma unidade de seis meses
-
Uma unidade de doze meses
A variante escolhida se aplica a todos os dados unidades, não é possível misturar unidades.
A tabela abaixo ilustra o uso de unidades de Data Lake para cobrir os requisitos de armazenamento de eventos do cliente.
|
Número máximo de eventos gerados por hora |
Período de retenção necessário |
Unidades de Data Lake adicionais necessárias |
Tipo de unidade de Data Lake necessário |
|---|---|---|---|
|
Até 2,5 milhões |
3 meses |
0 |
N/D |
|
Até 2,5 milhões |
6 meses |
1 |
unidade de 6 meses |
|
Até 5 milhões |
3 meses |
1 |
unidade de 3 meses |
|
Até 7,5 milhões |
12 meses |
2 |
unidade de 12 meses |
Clientes com um histórico estável de geração de eventos podem inspecionar o gráfico de eventos no CMA para ver quantos eventos estão sendo gerados. Eles podem usar os picos neste gráfico para considerar seus requisitos de limitação de taxa de eventos.
No gráfico de exemplo abaixo, os picos atingem um máximo de pouco mais de 400.000 eventos por hora. Isso seria coberto pela unidade única de Data Lake gratuita.
No gráfico de exemplo abaixo, o número de eventos por hora excede 2,5 milhões a cada hora, e o pico mais alto se aproxima de 3 milhões. Isso é mais do que pode ser coberto pela limitação de taxa de eventos padrão para 1 unidade de Data Lake. 1 unidade adicional cobriria esses requisitos de armazenamento, permitindo gerar até 5 milhões de eventos por hora.
Note que a altura exata de cada barra pode ser inspecionada ao passar o cursor sobre a barra, como ilustrado no gráfico abaixo.
Outros pontos a serem observados:
-
Esses exemplos cobrem um pequeno período, por conveniência. Um período de análise mais longo seria prudente.
-
O período de tempo representado por cada barra mudará de acordo com o período de tempo coberto pelo gráfico. Preste atenção na Granularidade da Série Temporal ao alterar o período de tempo coberto.
Esta seção ajuda você a criar uma estimativa inicial aproximada dos eventos de pico por hora para entender quantas unidades de Data Lake são necessárias. Recomendamos que você monitore continuamente as taxas de eventos reais e ajuste conforme necessário. Os eventos reais gerados por hora dependem de várias variáveis, como padrões de tráfego e configuração de registro de políticas. Para mais informações, veja Melhores Práticas para o Armazenamento e Ingestão de Logs de Eventos da Cato.
A geração de eventos está correlacionada tanto à largura de banda total em uso na rede quanto ao número de Usuários SDP suportados. Clientes sem um histórico de geração de eventos podem estimar seus requisitos prováveis de limitação de taxa de eventos somando a largura de banda total do site da conta e o número de Usuários SDP. Além disso, os serviços habilitados para a conta também podem impactar os requisitos de eventos. Por exemplo, se o Firewall LAN estiver habilitado, isso aumentará os requisitos de eventos proporcionalmente ao volume de tráfego LAN e ao tráfego que gera eventos.
São fornecidas tabelas abaixo para ajudar a estimar os eventos de pico gerados por hora. Siga este procedimento para calcular os requisitos a partir das tabelas:
-
Encontre a linha na tabela de Largura de Banda Total que corresponde à largura de banda licenciada de pico para a rede. Leia o estimado eventos de pico por hora que serão gerados
-
Encontre a linha na tabela de Clientes SDP que corresponde ao número de Clientes SDP em uso. Leia o estimado eventos de pico por hora que serão gerados
-
Adicione as somas das etapas 1 e 2.
-
Divida o total de eventos por hora por 2,5 milhões e arredonde para cima, para estimar o número de unidades de Data Lake necessárias para a largura de banda do site e Clientes SDP.
-
Se você estiver usando vários serviços Cato que geram um grande número de eventos, como CASB ou Firewall LAN, adicione 1 unidade de Data Lake.
Use estas tabelas para estimar o número de pico de eventos por hora gerados para um cliente. Eles assumem que o cliente está registrando todos os eventos.
|
Largura de Banda Total |
Eventos de pico estimados por hora |
Clientes SDP |
Eventos de pico estimados por hora |
|---|---|---|---|
|
Até 2,5Gbps |
1.000.000 |
Até 3K |
1.000.000 |
|
2,5-6Gbps |
5.000.000 |
3K-7K |
5.000.000 |
|
6-9Gbps |
7.500.000 |
7K-11K |
7.500.000 |
|
9-12Gbps |
10.000.000 |
11K-15K |
10.000.000 |
|
12-15Gbps |
12.500.000 |
15K-19K |
12.500.000 |
|
15-18Gbps |
15.000.000 |
19K-23K |
15.000.000 |
|
18-21Gbps |
17.500.000 |
23K-27K |
17.500.000 |
|
21-24Gbps |
20.000.000 |
27K-31K |
20.000.000 |
|
24-27Gbps |
22.500.000 |
31K-35K |
22.500.000 |
|
27-30Gbps |
25.000.000 |
35K-39K |
25.000.000 |
|
30-33Gbps |
27.500.000 |
39K-43K |
27.500.000 |
Na tabela acima:
-
Um total de 3 Gbps de largura de banda em todos os sites geraria um estimado pico de cinco milhões de eventos por hora
-
A total of 5,000 SDP clients would generate an additional estimated peak of two and a half million events per hour
-
Portanto, o cliente poderia esperar um pico de 5+2,5= 7,5 milhões de eventos por hora (2 unidades)
-
O cliente usa o serviço CASB e RBI (1 unidade)
-
Isso poderia ser coberto comprando três unidades adicionais de Armazenamento Data Lake de duração apropriada.
A unidade de medida para unidades de Data Lake é o número de eventos gerados por hora. O volume de dados envolvidos não é usado no cálculo ou compra de unidades adicionais e não é relatado pelo CMA.
No entanto, os clientes podem desejar estimar as implicações se planejarem exportar dados para armazenamento externo ou um SIEM. Os clientes podem fazer uma estimativa aproximada do volume de dados envolvidos, assumindo que uma unidade de Data Lake (2,5 milhões de eventos por hora) é muito aproximadamente equivalente a 180 GB por mês de armazenamento de dados, como ilustrado na tabela abaixo.
Nota que esta é uma estimativa muito aproximada. As unidades de Data Lake definem o máximo número de eventos que podem ser gerados em uma hora. É auto-evidente que um cliente que compra unidades para lidar com grandes picos ocasionais na geração de eventos terá um requisito de armazenamento externo muito diferente de um cliente que compra o mesmo número de unidades para lidar com um número consistentemente alto de eventos gerados.
A tabela a seguir mostra uma estimativa muito aproximada do total de GB de acordo com o período de retenção:
|
Eventos por hora |
Unidades de Data Lake |
GB por mês (estimado) |
3 meses |
6 meses |
12 meses |
|---|---|---|---|---|---|
|
2,5 milhões |
1 |
180 |
540 |
1080 |
2160 |
|
5 milhões |
2 |
360 |
1080 |
2160 |
4320 |
|
7,5 milhões |
3 |
540 |
2160 |
4320 |
8640 |
(*) Alguns contratos com a Cato podem incluir termos que diferem da informação neste artigo
0 comentário
Por favor, entre para comentar.