Archiver : Étape 3. Configurer le stockage et la rétention des logs Archiver

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique donne des instructions aux administrateurs pour configurer le stockage et la rétention de logs dans Archiver.

Pour des raisons de conformité, il est souvent nécessaire de conserver certains types de logs plus longtemps que d'autres. Certains logs relèvent du domaine juridique et ne peuvent pas être conservés pendant longtemps. D'autres logs doivent être conservés pendant des années. Outre la conformité, certains logs sont utiles à des fins d'analyse historique approfondie alors que d'autres n'ont aucune valeur opérationnelle ou sécuritaire et peuvent être supprimés rapidement.

Parce que les exigences métier sont variables, Security Analytics vous permet de configurer des Collections, qui sont un ensemble de logs conservés pour le stockage des données de logs. Pour chaque collection, vous pouvez spécifier la quantité d'espace de stockage total à utiliser et le nombre de jours pendant lesquels les logs doivent être conservés dans la collection. Pour spécifier le type de logs à placer dans la collection, vous définissez les règles de rétention à associer aux collections. Les règles de rétention de toutes vos collections s'exécutent de manière séquentielle, dans l'ordre que vous définissez.

Pour cela, vous devez d'abord définir l'espace de stockage physique total pour vos collections. Security Analytics vous permet de définir trois types de stockage :

  • Stockage intensif : ce stockage contient les données des fichiers log qui font l'objet d'une utilisation active dans le processus métier. Les utilisateurs peuvent accéder à ces logs plus vite qu'avec d'autres types de stockage, pour leurs tâches de reporting ou autres. Le stockage intensif est généralement un stockage de type DAC (Direct-Access Capacity) ou SAN.  
  • Stockage à chaud : (Facultatif) Ce stockage contient des données de fichiers log plus anciennes, agrégées par Archiver. L'accès aux données des fichiers log est plus lente qu'avec le stockage intensif. Les utilisateurs peuvent également utiliser ces logs pour le reporting et d'autres tâches. Le stockage à chaud est généralement de type NAS (Network Attached Storage). 
  • Stockage à froid : (Facultatif) Ce stockage contient les données des fichiers log les plus anciennes. Elles sont soit requises pour les opérations métier, soit mandatées par des exigences réglementaires. Les logs sont hors ligne et Archiver ne peut pas accéder à ces logs pour le reporting ou d'autres tâches. Néanmoins, si vous voulez avoir accès à ces données des fichiers log, vous pouvez les restaurer dans les collections créées sur le service Workbench et les utiliser pour le reporting. Le stockage à froid est généralement un stockage hors ligne tel que NAS ou un stockage temporaire avant l'archivage sur bande. Lorsque les données sont déplacées vers le stockage à froid, elles ne sont plus gérées par Archiver. Il incombe alors à des processus externes de les sauvegarder ou de gérer l'espace de stockage à froid afin qu'il n'atteigne pas 100 % de sa capacité. Si la capacité maximale est atteinte, Archiver interrompt l'agrégation jusqu'à ce que le problème soit résolu.

Les Archivers sont préconfigurés pour utiliser le stockage intensif disponible et une collection de logs par défaut : ainsi, vous n'avez pas besoin de configurer le stockage Archiver et la rétention de logs si vos besoins en rétention de logs ne sont pas complexes.

Les logs peuvent passer d'un type de stockage à un autre de la façon suivante :

  • Stockage intensif > Stockage à froid
  • Stockage intensif > Stockage à chaud > Stockage à froid

HWCstorage.png

Lorsqu'une collection atteint ses limites de rétention pour le stockage intensif et à chaud, Security Analytics supprime les données du log de stockage intensif ou à chaud. Si le stockage à froid est configuré, une copie est placée dans le stockage à froid avant que les logs ne soient supprimés du stockage intensif ou du stockage à chaud.  Par exemple, si vous disposez d'une collection avec un stockage intensif d'1 To, un stockage à chaud d'1 To, et le stockage à froid activé, lorsque les données des fichiers log atteignent 1 To de stockage intensif, les données de log les plus anciennes passent en stockage à chaud. Lorsque les données des fichiers log du stockage à chaud atteignent 1 To, les données des fichiers log les plus anciennes du stockage à chaud sont copiées vers le stockage à froid avant leur suppression du stockage à chaud. 

Pour le stockage intensif et le stockage à chaud, les paramètres de taille et de période de rétention d'une collection peuvent se remplacer mutuellement sur la base du critère (taille ou période) satisfait en premier. Par exemple, vous disposez d'une collection de stockage intensif d'1 To, aucun stockage à chaud ou à froid, et une période de rétention de 20 jours : si les données des fichiers log dépassent 1 To au bout de 11 jours, les logs les plus anciens au-dessus d'1 To sont supprimés même si la collection présente une période de rétention de 20 jours.

Après avoir créé les stockages intensif, à chaud et à froid, configurez vos collections de stockage pour la rétention des logs. Vous pouvez spécifier la taille maximale du stockage intensif et à chaud pour la collection, l'utilisation ou non du stockage à froid, le nombre de jours de rétention des logs dans la collection, la compression des données et l'utilisation ou non d'un algorithme de hachage afin de vérifier l'intégrité des données pour les fichiers qui sont sauvegardés.

Après avoir configuré vos collections, définissez leurs règles de rétention. Ces règles indiquent le type de logs à stocker dans la collection. Chaque collection doit au moins disposer d'une règle de rétention pour stocker les données des fichiers log.

Procédure

Réalisez les tâches suivantes dans l'ordre indiqué afin de configurer le stockage et la rétention des logs.

                       
TâcheRéférence
1. Configurez le stockage total Hot, à chaud et à froid. Voir Configurer le stockage intensif, à chaud et à froid.
2. Configurez les collections de stockage pour la rétention des logs. Reportez-vous aux sections suivantes Configurer les collections de stockage de logs.
3. Définissez les règles de rétention des collections et déterminez l'ordre d'exécution des règles de rétention. Reportez-vous aux sections suivantes Définir les règles de rétention.
You are here
Table of Contents > Configurer Archiver > Étape 3. Configurer le stockage et la rétention des logs Archiver

Attachments

    Outcomes