JSA 组件类型
添加到部署中的每个 JSA 设备都有可配置的组件,这些组件指定了托管主机在 JSA 中的行为方式。

JSA 控制台
JSA 控制台提供 JSA 产品界面、实时事件和流视图、报告、攻击、资产信息和管理功能。在分布式环境中,JSA 控制台用于管理部署中的其他组件。
事件收集器
事件收集器从本地和远程日志源收集事件,并规范原始事件数据,以便 JSA 可使用。为了节省系统资源,事件收集器会将相同的事件捆绑在一起,并将数据发送至事件处理器。
事件处理器
事件处理器处理从一个或多个事件收集器组件收集的事件。如果事件与控制台上定义的自定义规则匹配,事件处理器将遵循规则响应中定义的操作。
每个 事件处理器 都有本地存储。事件数据存储在处理器上,也可以存储在 数据节点上。
JSA 流处理器
JSA 流处理器 从网络上的设备收集网络流。包括实时和录制的源,例如网络抽头、跨端口、 NetFlow 和 JSA 流日志。
日志管理器 不支持流收集。
流处理器
流处理器处理来自一个或多个 JSA 流处理器设备的流。流处理器设备还可以直接从网络中的路由器收集外部网络流,如 NetFlow、J-Flow 和 sFlow。
流处理器 包括板载处理器和内部存储流数据。
数据节点
数据节点接收安全事件以及来自事件和流处理器的流,并将数据存储到磁盘。
数据节点始终连接到事件处理器或流处理器。
异地源和目标设备
异地设备是 不是由 JSA 控制台监控的部署的一部分的 JSA 设备。
异地源设备将规范化数据转发至 事件收集器。您可以配置异地源,在转发之前对数据进行加密。
异地目标设备从任何 事件收集器或部署中的任何处理器接收标准化事件或流数据。
JSA 系统的更高版本可以从早期版本的 JSA 系统接收数据,但早期版本无法接收来自更高版本的数据。为避免出现问题,请先升级所有接收方,然后再升级发件人。