Metron從概念上可劃分為四個組件:數據捕獲與攝取、實時數據處理、受保證的數據持久化和存儲、用于驅動監控和風險報警服務的機器學習模型。
從核心上看Metron是Kappa架構。Kappa是Lambda架構的一種變體,使用Apache Kafka作為統一的數據總線,并使用Apache Strom作為處理組件。Bro插件提供了將Bro日志發送給Kafka的能力,這使得Metron可以捕獲對深度探究數據包尤為有用的數據、借助Kafka的可靠性保證捕獲并重建數據,以及與其他大數據生態系統進行集成。
數據捕獲組件實現將遙測數據發布到Metron的消息總線上,進而持久化或經由Storm進行實時處理到HBase中。Metron對被捕獲的數據提供了多種方法建立搜索索引和進行實時與近實時處理。Metron提供了數據接口,使得HBase可根據情況與ElasticSearch、Lucene和Solr進行接口。Metron默認提供的系統管理和儀表盤接口是基于Kibana構建的。
Metron具有一些不同于新興數據流水線標準的特征。首先,Metron是通過Stellar與一系列的數據轉換功能和API進行集成的。Stellar是一種威脅情報分離和場轉換語言,通過Metron的RESTful模型即服務(MaaS,Modeling-as-a-Service)功能進行部署和執行。MaaS功能使用Yarn管理,設計實現為一種實時或近實時的威脅檢測和響應機制。其次,數據濃縮工具集提供了管理和加載各種數據濃縮和威脅情報源到Metron的HBase數據接收器的功能。通過MaaS部署的機器學習模型,Metron實現了對數據濃縮步驟的增強。最后一點,Metron提供了一系列的分析工具。當實時和近實時的遙測數據進入數據總線以及在HBase中持久化時,分析工具實現了執行特性抽取和截取數據窗口的機制。
該Apache項目由Owen O'Malley領導,最早正是他負責將OpenSOC項目遷移為Metron項目。
查看英文原文: Apache Metron Graduates to Top-Level Project
京公網安備 11010502049343號