欧洲国家警察部队如何通过 Elastic 整合数据以更好地为公众服务
欧洲国家警察部队由 6.5 万名警官和 2,000 名 IT 专业人员组成,他们曾面临着一大挑战:建立一个可搜索的中央存储库,用于将包括基础架构、应用程序和审计数据在内的所有日志都存入其中。
为了完成这一挑战,该机构选择了在 Elastic 平台上构建一个数据湖,最终将用作处理所有日志数据的中央枢纽。该机构的目标是,在未来两年内将多达 350 个应用程序中的日志数据填充到这个数据湖。
该机构的产品线经理说:“从现在起的两年内,我们将看到每天大约 75TB 的采集量。给你们一个参考,这比 Apple 个人云储存空间方案一天内可存储的数据总量多了近 20 倍。目前,从我们当前已关联的数据源来看,在处理的数据量已有大约 2.5TB。因此,为增长做好准备对我们的系统至关重要。”
为 DevOps、调查人员和数字安全人员存储日志
这位产品线经理说:“很显然,我们有 DevOps 团队,我们将协助他们存储和保留日志信息。通过提供日志信息,他们将能够基于优质的数据源为自己的系统构建仪表板。
数据湖的第二组用户会将调查人员纳入进来,他们负责审查涉嫌“滥用警方数据”的情况。
例如,如果一名警察想调查她女儿的男朋友,看他是否有犯罪记录,这就属于不恰当地使用警方数据。数据使用应该与任务相关。”
产品线经理表示,第三组用户是安全运营中心的开发人员:“他们将寻找数据使用中的异常情况。”
“举个例子,如果一名警官在一个城市登录了自己的终端设备,与此同时,有人在另一个城市(两地相距几小时路程)走进警察局,并使用了这名警官的徽章,这将会在安全运营中心触发一个异常告警,并且可在系统的日志记录中观察到。”
为了保持对数据的控制,数据湖的用户将通过基于角色的访问获得查看权限,这种权限配置可以通过 Elastic 轻松完成。
数据保留:温、热、冷和冻结
由于数据湖在建成后每天将保留和记录 75TB 的数据,因此该机构将利用 Elastic 的分层存储级别。
根据数据类型、保留政策和法规,该机构会将数据存储 1-5 年。
这种类型的存储架构所带来的商业利益是非常巨大的。数据存储层越冷,维护成本就越低。这意味着,较旧的数据或出于监管目的而保留的数据可以保存在更便宜、更冷的存储层中,从而节省计算能力。
对于这个警察机构来说,这种做法使得在 Elastic 中管理不断增长的数据量变得更加“高效”,并为新的用例打开了大门。
产品线经理说:“为了能够以某种有效的方式处理这么大量的数据,我们在设计上区分了温存储、热存储、冷存储和冻结存储。”
联系 Elastic 咨询部门
为了更顺利地部署这个项目,该机构与 Elastic 咨询部门积极合作,共同探讨如何构建初步设计并实施最佳实践。