Os dados brutos são coletados por meio de fontes de registros como syslog, JDBC e SNMP e são processados por componentes como o Event Collector, que parseia e normaliza os eventos e fluxos. Em seguida, os eventos são correlacionados e armazenados pelo Event Processor. Outros componentes importantes incluem o componente de licenciamento, que monitora os eventos entrada e gerencia filas de entrada e licenças EPS.
Além disso, o DSM Normalized Component parseia os campos brutos em uma forma legível para o banco de dados Curadar. O Auto Detection Engine detecta novas fontes de registro e as adiciona ao sistema. O componente de collapsing coalesce eventos para melhorar o desempenho e reduzir o impacto do armazenamento.
Os eventos são então processados contra regras definidas pelo componente CRE e geram notificações. O componente deenvio de eventos encaminha dados para targets externos. Por fim, o componente Aerial Writer grava os dados no banco de dados Aerial.
Como as pesquisas funcionam no QRDAR
Quando um analista realiza uma pesquisa de eventos no QRDAR, o serviço Arial Proxy envia uma solicitação de pesquisa para todos os serviços de consulta Arial no deployment. Em seguida, o serviço de consulta Arial agrega eventos e registros de fluxo em disco e retorna os resultados da pesquisa para o analista.
Além disso, o vídeo explica como os eventos são processados e armazenados no QRDAR, permitindo que os eventos sejam visualizados em tempo real na guia de atividade de rede.