EventLog Analyzer系统要求
本节列出了安装和使用EventLog Analyzer(分布式和独立版)的系统要求。
硬件
日志管理解决方案,选择合适的硬件在确保最佳性能方面发挥着重要作用。
下表根据流程类型表示建议的硬件要求。
| |
低性能 |
一般性能 |
高性能 |
| 处理器内核 |
6 |
12 |
24 |
| 内存 |
16 GB |
32 GB |
64 GB |
| 磁盘类型 |
固态硬盘 |
固态硬盘 |
固态硬盘 |
| 磁盘空间 |
1.2 TB |
3 TB |
4 TB |
| 网卡容量 |
1 GB/s |
1 GB/s |
10 GB/s |
| CPU架构 |
64位 |
64位 |
64位 |
注意:上述值是近似值。建议您先在测试环境中进行测试,其中包含上表中提到的设置细节。根据确切的流量和数据大小,可以微调系统要求。
使用下表来确定实例的流程类型。
| 日志类型 |
大小(以字节为单位) |
类别 |
日志单元 |
| 低性能(EPS) |
正常流量(EPS) |
高性能(EPS) |
| Windows |
900 |
Windows |
300 |
1500 |
3000 |
| Linux、HP、pfSense、Juniper |
150 |
1型系统日志 |
2000 |
10000 |
20000 |
| 思科,Sonicwall,华为,Meraki,H3C |
300 |
2型系统日志 |
1500 |
6000 |
12000 |
| Fortinet |
450 |
3型系统日志 |
1200 |
4000 |
7000 |
| Palo Alto、Sophos、Firepower和其他系统日志 |
600 |
4型系统日志 |
800 |
2500 |
5000 |
笔记:
- 单台ELA服务器最多可以处理3000个Windows日志或上表中每种日志类型中提到的任何高性能值。
- 对于上表中未提及的日志类型,请根据日志大小选择适当的类别。例如,在SQL Server日志中,当字节大小为900字节,EPS为3000时,它应该被视为高性能。
- 如果组合流量高于单个节点可以处理的流量,建议采取分布式部署。
- 如果使用了高级威胁分析和大量相关规则,建议选择下一个更高的频段。
一般性建议:
虚拟机基础设施
- 将100%的RAM/CPU分配给运行EventLog Analyzer的虚拟机,与同一主机上的其他虚拟机共享内存/CPU可能会导致RAM/CPU不足,并可能对EventLog Analyzer的性能产生负面影响。
- 不建议启用VM快照,因为主机通过增加读写在多个块中复制数据,从而增加IO延迟并降低性能。
CPU和RAM:
- 服务器CPU利用率应始终保持在85%以下,以确保最佳性能。
- 50%的服务器RAM应保持空闲状态,以便立即使用Elasticsearch以获得最佳性能。
磁盘:
- 磁盘延迟极大地影响了EventLog Analyzer的性能。建议采用与SSD性能相当的直连存储(DAS)。企业存储区域网络 (SAN) 可能比 SSD 更快。
网页浏览器
EventLog Analyzer已经过测试,以支持以下至少具有1024x768显示分辨率的浏览器和版本:
- Microsoft Edge
- Firefox 4及更高版本
- Chrome 8及更高版本
数据库
EventLog Analyzer可以使用以下数据库作为其后端数据库
与产品捆绑在一起
外部数据库
操作系统
EventLog Analyzer可以安装在运行以下操作系统和版本的机器上:
- Windows 7及更高版本,以及Windows Server 2008及更高版本
- Linux:Red Hat 8.0及更高版本/所有版本的RHEL、Mandrake/Mandriva、SUSE、Fedora、CentOS、Ubuntu、Debian
安装服务器
- SIEM解决方案是资源密集型的。建议提供专用服务器以获得最佳性能。
- Eventlog Analyzer使用Elasticsearch。弹性搜索过程预计将利用非堆内存来提高性能。离堆内存由操作系统维护,并在必要时释放。
其他建议:
| 硬件 |
最小值 |
推荐 |
| 基本速度 |
2.4 GHz |
3.0 GHz |
| 内核 |
12 |
16 |
| RAM |
64 |
64 |
| 磁盘空间 |
1.2 TB |
1.5 TB |
| 磁盘 |
固态硬盘 |
固态硬盘 |
