Databricks
·
Arctic Wolf 的液态聚类架构调优至 PB 级规模
💡
原文英文,约700词,阅读约需3分钟。
📝
内容提要
Arctic Wolf 每天处理超过一万亿事件,重构数据架构后,查询速度提升至秒级,数据新鲜度从小时降至分钟,支持实时威胁检测与响应,显著降低查询时间和成本。
🎯
关键要点
- Arctic Wolf 每天处理超过一万亿事件,提取出数十亿个安全相关的见解。
- 数据架构重构后,查询速度提升至秒级,数据新鲜度从小时降至分钟。
- 实时威胁检测和响应能力显著提高,支持快速查询。
- 历史数据分析对现代威胁狩猎至关重要,能够在几小时内遏制攻击。
- 重构数据架构后,文件数量从400万减少到200万,查询时间减少约50%。
- 新架构采用液态聚类和统一目录管理表,提供一致的性能和近实时的洞察。
- 旧数据表因小文件数量过多,导致查询性能差,且只能查询过去24小时的数据。
- 为解决性能问题,重新设计数据布局以支持晚到数据,优化查询性能。
- 新架构采用金银铜层次结构,使用Kafka进行数据流处理,支持严格的延迟服务水平协议。
- 液态聚类取代了刚性分区方案,使数据分布更均匀,平均文件大小超过1GB,减少了查询时扫描的文件数量。
🏷️
