EventLog Analyzer系统要求

本节列出了安装和使用EventLog Analyzer(分布式和独立版)的系统要求。

硬件

日志管理解决方案,选择合适的硬件在确保最佳性能方面发挥着重要作用。

下表根据流程类型表示建议的硬件要求。

  低性能 一般性能 高性能
处理器内核 6 12 24
内存 16 GB 32 GB 64 GB
磁盘类型 固态硬盘 固态硬盘 固态硬盘
磁盘空间 1.2 TB 3 TB 4 TB
网卡容量 1 GB/s 1 GB/s 10 GB/s
CPU架构 64位 64位 64位
注意:上述值是近似值。建议您先在测试环境中进行测试,其中包含上表中提到的设置细节。根据确切的流量和数据大小,可以微调系统要求。

使用下表来确定实例的流程类型。

日志类型 大小(以字节为单位) 类别 日志单元
低性能(EPS) 正常流量(EPS) 高性能(EPS)
Windows 900 Windows 300 1500 3000
Linux、HP、pfSense、Juniper 150 1型系统日志 2000 10000 20000
思科,Sonicwall,华为,Meraki,H3C 300 2型系统日志 1500 6000 12000
Fortinet 450 3型系统日志 1200 4000 7000
Palo Alto、Sophos、Firepower和其他系统日志 600 4型系统日志 800 2500 5000
笔记:
  • 单台ELA服务器最多可以处理3000个Windows日志或上表中每种日志类型中提到的任何高性能值。
  • 对于上表中未提及的日志类型,请根据日志大小选择适当的类别。例如,在SQL Server日志中,当字节大小为900字节,EPS为3000时,它应该被视为高性能。
  • 如果组合流量高于单个节点可以处理的流量,建议采取分布式部署
  • 如果使用了高级威胁分析和大量相关规则,建议选择下一个更高的频段。

一般性建议:

虚拟机基础设施

  • 将100%的RAM/CPU分配给运行EventLog Analyzer的虚拟机,与同一主机上的其他虚拟机共享内存/CPU可能会导致RAM/CPU不足,并可能对EventLog Analyzer的性能产生负面影响。
  • 不建议启用VM快照,因为主机通过增加读写在多个块中复制数据,从而增加IO延迟并降低性能。

CPU和RAM:

  • 服务器CPU利用率应始终保持在85%以下,以确保最佳性能。
  • 50%的服务器RAM应保持空闲状态,以便立即使用Elasticsearch以获得最佳性能。

磁盘:

  • 磁盘延迟极大地影响了EventLog Analyzer的性能。建议采用与SSD性能相当的直连存储(DAS)。企业存储区域网络 (SAN) 可能比 SSD 更快。

网页浏览器

EventLog Analyzer已经过测试,以支持以下至少具有1024x768显示分辨率的浏览器和版本:

  • Microsoft Edge
  • Firefox 4及更高版本
  • Chrome 8及更高版本

数据库

EventLog Analyzer可以使用以下数据库作为其后端数据库

与产品捆绑在一起

  • PostgreSQL

外部数据库

  • Microsoft SQL 2012及更高版本

操作系统

EventLog Analyzer可以安装在运行以下操作系统和版本的机器上:

  • Windows 7及更高版本,以及Windows Server 2008及更高版本
  • Linux:Red Hat 8.0及更高版本/所有版本的RHEL、Mandrake/Mandriva、SUSE、Fedora、CentOS、Ubuntu、Debian

安装服务器

  • SIEM解决方案是资源密集型的。建议提供专用服务器以获得最佳性能。
  • Eventlog Analyzer使用Elasticsearch。弹性搜索过程预计将利用非堆内存来提高性能。离堆内存由操作系统维护,并在必要时释放。

其他建议:

硬件 最小值 推荐
基本速度 2.4 GHz 3.0 GHz
内核 12 16
RAM 64 64
磁盘空间 1.2 TB 1.5 TB
磁盘 固态硬盘 固态硬盘