EventLog Analyzer系统要求
本节列出了安装和使用EventLog Analyzer(分布式和独立版)的系统要求。
硬件
日志管理解决方案,选择合适的硬件在确保最佳性能方面发挥着重要作用。
下表根据流程类型表示建议的硬件要求。
| | 低性能 | 一般性能 | 高性能 |
|---|
| 处理器内核 | 6 | 12 | 24 |
| 内存 | 16 GB | 32 GB | 64 GB |
| 磁盘类型 | 固态硬盘 | 固态硬盘 | 固态硬盘 |
| 磁盘空间 | 1.2 TB | 3 TB | 4 TB |
| 网卡容量 | 1 GB/s | 1 GB/s | 10 GB/s |
| CPU架构 | 64位 | 64位 | 64位 |
注意:上述值是近似值。建议您先在测试环境中进行测试,其中包含上表中提到的设置细节。根据确切的流量和数据大小,可以微调系统要求。
使用下表来确定实例的流程类型。
| 日志类型 | 大小(以字节为单位) | 类别 | 日志单元 |
|---|
| 低性能(EPS) | 正常流量(EPS) | 高性能(EPS) |
|---|
| Windows | 900 | Windows | 300 | 1500 | 3000 |
| Linux、HP、pfSense、Juniper | 150 | 1型系统日志 | 2000 | 10000 | 20000 |
| 思科,Sonicwall,华为,Meraki,H3C | 300 | 2型系统日志 | 1500 | 6000 | 12000 |
| Fortinet | 450 | 3型系统日志 | 1200 | 4000 | 7000 |
| Palo Alto、Sophos、Firepower和其他系统日志 | 600 | 4型系统日志 | 800 | 2500 | 5000 |
笔记:- 单台ELA服务器最多可以处理3000个Windows日志或上表中每种日志类型中提到的任何高性能值。
- 对于上表中未提及的日志类型,请根据日志大小选择适当的类别。例如,在SQL Server日志中,当字节大小为900字节,EPS为3000时,它应该被视为高性能。
- 如果组合流量高于单个节点可以处理的流量,建议采取分布式部署。
- 如果使用了高级威胁分析和大量相关规则,建议选择下一个更高的频段。
一般性建议:
虚拟机基础设施
- 将100%的RAM/CPU分配给运行EventLog Analyzer的虚拟机,与同一主机上的其他虚拟机共享内存/CPU可能会导致RAM/CPU不足,并可能对EventLog Analyzer的性能产生负面影响。
- 不建议启用VM快照,因为主机通过增加读写在多个块中复制数据,从而增加IO延迟并降低性能。
CPU和RAM:
- 服务器CPU利用率应始终保持在85%以下,以确保最佳性能。
- 50%的服务器RAM应保持空闲状态,以便立即使用Elasticsearch以获得最佳性能。
磁盘:
- 磁盘延迟极大地影响了EventLog Analyzer的性能。建议采用与SSD性能相当的直连存储(DAS)。企业存储区域网络 (SAN) 可能比 SSD 更快。
网页浏览器
EventLog Analyzer已经过测试,以支持以下至少具有1024x768显示分辨率的浏览器和版本:
- Microsoft Edge
- Firefox 4及更高版本
- Chrome 8及更高版本
数据库
EventLog Analyzer可以使用以下数据库作为其后端数据库
与产品捆绑在一起
外部数据库
操作系统
EventLog Analyzer可以安装在运行以下操作系统和版本的机器上:
- Windows 7及更高版本,以及Windows Server 2008及更高版本
- Linux:Red Hat 8.0及更高版本/所有版本的RHEL、Mandrake/Mandriva、SUSE、Fedora、CentOS、Ubuntu、Debian
安装服务器
- SIEM解决方案是资源密集型的。建议提供专用服务器以获得最佳性能。
- Eventlog Analyzer使用Elasticsearch。弹性搜索过程预计将利用非堆内存来提高性能。离堆内存由操作系统维护,并在必要时释放。
其他建议:
| 硬件 | 最小值 | 推荐 |
|---|
| 基本速度 | 2.4 GHz | 3.0 GHz |
| 内核 | 12 | 16 |
| RAM | 64 | 64 |
| 磁盘空间 | 1.2 TB | 1.5 TB |
| 磁盘 | 固态硬盘 | 固态硬盘 |
