Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Retención de datos

Los buckets de retención definen cuánto tiempo se conservan los datos de eventos y flujo en JSA.

A medida que JSA recibe eventos y flujos, cada uno se compara con los criterios de filtro del cubo de retención. Cuando un evento o flujo coincide con un filtro de depósito de retención, se almacena en ese depósito de retención hasta que se alcanza el período de tiempo de la política de eliminación. El período de retención predeterminado es de 30 días; Luego, los datos se eliminan inmediatamente.

Los depósitos de retención se secuencian en orden de prioridad desde la fila superior hasta la fila inferior. En el bucket se almacena un registro que coincide con los criterios de filtro con máxima prioridad. Si el registro no coincide con ninguno de los depósitos de retención configurados, el registro se almacena en el depósito de retención predeterminado, que siempre se encuentra debajo de la lista de depósitos de retención configurables.

Datos del inquilino

Puede configurar hasta 10 buckets de retención para datos compartidos y hasta 10 buckets de retención para cada inquilino.

Cuando los datos entran en el sistema, los datos se evalúan para determinar si se trata de datos compartidos o si los datos pertenecen a un inquilino. Los datos específicos del inquilino se comparan con los filtros del depósito de retención definidos para ese inquilino. Cuando los datos coinciden con un filtro de depósito de retención, los datos se almacenan en ese depósito de retención hasta que se alcanza el período de tiempo de la política de retención.

Si no configura los depósitos de retención para el inquilino, los datos se colocan automáticamente en el depósito de retención predeterminado para el inquilino. El período de retención predeterminado es de 30 días, a menos que configure un bucket de retención específico para el inquilino.

Para obtener más información acerca de la retención de datos de inquilinos, consulte Directivas de retención para inquilinos.

Configuración de depósitos de retención

Configure políticas de retención para definir cuánto tiempo se necesita JSA para conservar los datos de eventos y flujos, y qué hacer cuando esos datos alcanzan una cierta antigüedad.

Los cambios realizados en los filtros del depósito de retención se aplican inmediatamente solo a los datos entrantes. Por ejemplo, si configuró un depósito de retención para conservar todos los datos de la dirección IP de origen 10.0.0.0/8 durante 1 día y posteriormente edita el filtro para conservar los datos de la IP de origen 192.168.0.1, el cambio no es retroactivo. Inmediatamente después de cambiar el filtro, el cubo de retención tiene 24 horas de datos 10.0.0.0/8, y todos los datos que se recopilan después del cambio de filtro son datos 192.168.0.1.

La política de retención del bucket se aplica a todos los datos del bucket, independientemente de los criterios de filtros. Con el ejemplo anterior, si cambió la política de retención de 1 día a 7 días, tanto los datos 10.0.0.0/8 como los datos 192.168.0.1 del bucket se conservarán durante 7 días.

La distribución de un depósito de retención indica el uso del depósito de retención como un porcentaje de la retención total de datos en todos los depósitos de retención. La distribución se calcula por inquilino.

  1. En el menú de navegación (I'm sorry, but I cannot generate alt text for the image from the URL provided without being able to view the image or having a description of it. Please provide a detailed description of the image or its context for assistance.), haga clic en Admin.

  2. En la sección Orígenes de datos , haga clic en Retención de eventos o Retención de flujo.

  3. Si configuró inquilinos, en la lista Inquilino , seleccione el inquilino al que desea que se aplique el depósito de retención.

    Nota:

    Para administrar directivas de retención de datos compartidos en una configuración de varios inquilinos, elija N/A en la lista Inquilino .

  4. Para configurar un nuevo depósito de retención, siga estos pasos:

    1. Haga doble clic en la primera fila vacía de la tabla para abrir la ventana Propiedades de retención.

    2. Configure los parámetros del depósito de retención.

      Obtenga más información sobre los parámetros del depósito de retención:

      Propiedades

      Descripción

      Nombre

      Escriba un nombre único para el depósito de retención.

      Mantenga los datos colocados en este cubo para

      El período de retención que especifica cuánto tiempo se conservarán los datos. Cuando se alcanza el período de retención, los datos se eliminan de acuerdo con el parámetro Eliminar datos de este bucket . JSA no elimina datos dentro del período de retención.

      Eliminar datos de este bucket

      Seleccione Inmediatamente después de que haya expirado el período de retención para eliminar los datos inmediatamente al hacer coincidir el parámetro Conservar datos colocados en este bucket para . Los datos se eliminan en el siguiente proceso de mantenimiento programado del disco, independientemente de los requisitos de almacenamiento en disco.

      Las eliminaciones basadas en el espacio de almacenamiento comienzan cuando el espacio libre en disco cae al 15% o menos, y las eliminaciones continúan hasta que el espacio libre en disco es del 18% o se agota el período de tiempo de la política establecido en el campo Mantener los datos colocados en este bucket for . Por ejemplo, si el espacio en disco utilizado alcanza el 85% para los registros, los datos se eliminan hasta que el porcentaje utilizado cae al 82%. Cuando se requiere almacenamiento, solo se eliminan los datos que coincidan con el campo Conservar datos colocados en este bucket for .

      Si el bucket está configurado en Eliminar datos de este bucket: inmediatamente después de que haya expirado el período de retención, no se realizan comprobaciones de espacio en disco y la tarea de eliminación elimina inmediatamente cualquier dato que haya pasado la retención.

      Descripción

      Escriba una descripción para el depósito de retención.

      Filtros actuales

      Configure los criterios de filtro con los que se va a comparar cada dato.

    3. Haga clic en Agregar filtro después de especificar cada conjunto de criterios de filtro.

    4. Haga clic en Guardar.

  5. Para editar un depósito de retención existente, seleccione la fila de la tabla y haga clic en Editar.

    Consulte el paso 4 para obtener información acerca de las propiedades de la política de retención.

  6. Para eliminar un depósito de retención, seleccione la fila de la tabla y haga clic en Eliminar.

  7. Haga clic en Guardar.

    Los datos entrantes que coinciden con las propiedades de la política de retención se almacenan inmediatamente en el depósito de retención.

Administración de la secuencia del cubo de retención

Puede cambiar el orden de los depósitos de retención para asegurarse de que los datos se corresponden con los depósitos de retención en el orden que coincida con sus requisitos.

Los depósitos de retención se secuencian en orden de prioridad desde la fila superior hasta la fila inferior de las ventanas Retención de eventos y Retención de flujo . Se almacena un registro en el primer depósito de retención que coincida con los parámetros del registro.

No puede mover el depósito de retención predeterminado. Siempre reside en la parte inferior de la lista.

  1. En el menú de navegación (I'm sorry, but I cannot generate alt text for the image from the URL provided without being able to view the image or having a description of it. Please provide a detailed description of the image or its context for assistance.), haga clic en Admin.

  2. En la sección Orígenes de datos , haga clic en Retención de eventos o Retención de flujo.

  3. Si configuró inquilinos, en la lista Inquilino , seleccione el inquilino para los buckets de retención que desea reordenar.

    Nota:

    Para administrar directivas de retención de datos compartidos en una configuración de varios inquilinos, elija N/A en la lista Inquilino .

  4. Seleccione la fila correspondiente al depósito de retención que desea mover y haga clic en Arriba o Abajo para moverlo a la ubicación correcta.

  5. Haga clic en Guardar.

Habilitación y desactivación de un bucket de retención

Cuando configura y guarda un depósito de retención, se habilita de forma predeterminada. Puede deshabilitar un bucket para ajustar su evento o retención de flujo.

Cuando se deshabilita un bucket, cualquier evento o flujo nuevo que coincida con los requisitos del bucket deshabilitado se almacena en el siguiente bucket que coincida con las propiedades del evento o flujo.

  1. En el menú de navegación (I'm sorry, but I cannot generate alt text for the image from the URL provided without being able to view the image or having a description of it. Please provide a detailed description of the image or its context for assistance.), haga clic en Admin.

  2. En la sección Orígenes de datos , haga clic en Retención de eventos o Retención de flujo.

  3. Si configuró inquilinos, en la lista Inquilino , seleccione el inquilino para el depósito de retención que desea cambiar.

    Nota:

    Para administrar directivas de retención de datos compartidos en una configuración de varios inquilinos, elija N/A en la lista Inquilino .

  4. Seleccione el depósito de retención que desea deshabilitar y, a continuación, haga clic en Habilitar/Deshabilitar.

Eliminación de un depósito de retención

Cuando se elimina un bucket de retención, solo se eliminan los criterios que lo definen. El bucket de retención predeterminado recopila los eventos o flujos almacenados en el bucket. El período de retención predeterminado es de 30 días; Luego, los datos se eliminan inmediatamente.

  1. En el menú de navegación (I'm sorry, but I cannot generate alt text for the image from the URL provided without being able to view the image or having a description of it. Please provide a detailed description of the image or its context for assistance.), haga clic en Admin.

  2. En la sección Orígenes de datos , haga clic en Retención de eventos o Retención de flujo.

  3. Si configuró inquilinos, en la lista Inquilino , seleccione el inquilino para el depósito de retención que desea eliminar.

    Nota:

    Para administrar directivas de retención de datos compartidos en una configuración de varios inquilinos, elija N/A en la lista Inquilino .

  4. Seleccione el depósito de retención que desea eliminar y, a continuación, haga clic en Eliminar.

Documentación relacionada