Requisitos do sistema do EventLog Analyzer
Esta seção lista os requisitos de sistema para instalar e trabalhar com o EventLog Analyzer (versões distribuídas e autônomas).
Hardware
As soluções de gerenciamento de logs exigem muitos recursos e a seleção do hardware correto desempenha um papel fundamental para garantir o desempenho ideal.
A tabela a seguir indica os requisitos de hardware sugeridos com base no tipo de fluxo.
| | Baixo fluxo | Fluxo normal | Alto fluxo |
|---|
| Núcleos do processador | 6 | 12 | 24 |
| RAM | 16 GB | 32 GB | 64 GB |
| IOPS | 150 | 750 | 1500 * |
| Espaço em disco | 1.2 TB | 3 TB * | 4 TB * |
| Capacidade da placa de rede | 1 GB/s | 1 GB/s | 10 GB/s |
| Arquitetura da CPU | 64-bit | 64-bit | 64-bit |
Nota:
- Os valores mencionados acima são aproximados. É recomendável executar um ambiente de teste como o ambiente de produção, com os detalhes de configuração mencionados na tabela acima. Com base no fluxo exato e no tamanho dos dados, os requisitos do sistema podem ser ajustados.
- Para IOPS mais altas, podemos usar RAID ou SSD.
Use a tabela a seguir para determinar o tipo de fluxo para sua instância.
| Tipo de log | Tamanho (em bytes) | Categoria | Unidades de log |
|---|
| Baixo fluxo (EPS) | Fluxo normal (EPS) | Fluxo elevado (EPS) |
|---|
| Windows | 900 | Windows | 300 | 1500 | 3000 |
| Linux, HP, pfSense, Juniper | 150 | Type 1 Syslogs | 2000 | 10000 | 20000 |
| Cisco. Sonicwall, Huaweii, Netscreen, Meraki, H3C | 300 | Type 2 Syslogs | 1500 | 6000 | 12000 |
| Barracuda, Fortinet, Checkpoint | 450 | Type 3 Syslogs | 1200 | 4000 | 7000 |
| Palo Alto, Sophos, F5, Firepower, and other syslogs | 600 | Type 4 Syslogs | 800 | 2500 | 5000 |
Nota:- Um servidor de instalação única pode gerenciar um máximo de 3.000 logs do Windows ou qualquer um dos valores de fluxo elevado mencionados para cada tipo de log na tabela acima.
- Para tipos de log não listados na tabela acima, selecione a categoria apropriada com base no tamanho do log. Por exemplo, para logs do SQL Server, se o tamanho for de 900 bytes e o EPS for de 3.000, isso deve ser considerado fluxo alto.
- Se o fluxo combinado for maior do que aquilo que um único nó pode gerenciar, recomenda-se implementar a configuração distribuída.
- Recomenda-se também escolher a próxima faixa superior se a análise avançada de ameaças e muitas regras de correlação foram usadas.
Recomendações gerais
Infraestrutura VM
- Você deve alocar 100% de RAM/CPU à máquina virtual que está executando o EventLog Analyzer. O compartilhamento de memória/CPU com outras máquinas virtuais no mesmo host pode causar falta de RAM/CPU e impactar negativamente o desempenho do EventLog Analyzer.
- Use o provisionamento thick, pois o provisionamento thin aumenta a latência de E/S. No caso do VMware, selecione o o primeiro, zerado rapidamente, pois o lentamente tem desempenho inferior.
- A habilitação de instantâneos de VM não é recomendada, pois o host duplica os dados em vários blocos, aumentando as leituras e gravações, resultando em maior latência de E/S e desempenho reduzido.
CPU e RAM:
- A utilização da CPU do servidor sempre deve ser mantida abaixo de 85% para que o desempenho seja o ideal.
- Para um desempenho ideal, 50% da RAM do servidor deve ficar livre para uso fora da memória dinâmica do Elasticsearch.
Disco:
- A latência do disco afeta o desempenho do EventLog Analyzer. O armazenamento de conexão direta (DAS) é recomendado tanto quanto a taxa de transferência de dados de um SSD com latência quase zero e alta taxa de transferência. Uma rede de área de armazenamento (SAN) corporativa pode ser mais rápida do que um SSD.
Navegadores da web
O EventLog Analyzer foi avaliado para fornecer suporte aos seguintes navegadores e versões com uma resolução de tela mínima de 1024 x 768:
- Internet Explorer 11 e Edge
- Firefox 4 e posterior
- Chrome 8 e posterior
Bancos de dados
O EventLog Analyzer pode usar os seguintes bancos de dados como seu banco de dados back-end.
Fornecido no pacote do produto
Bancos de dados externos
- Microsoft SQL 2012 e superior
Observe os requisitos de hardware necessários para configurar o banco de dados do Microsoft SQL para o EventLog Analyzer:
| RAM | CPU | IOPS | Espaço em disco |
|---|
| 8GB | 6 | 300-500 | 300-500 GB |
Sistemas operacionais
O EventLog Analyzer pode ser instalado em computadores que executam os seguintes sistemas operacionais e versões:
- Windows 7 e superior, e Windows Server 2008 e superior
- Linux: Red Hat 8.0 e versões superiores/todas as versões de RHEL, Mandrake/Mandriva, SUSE, Fedora, CentOS, Ubuntu, Debian
IServidor de instalação
- As soluções SIEM consomem muitos recursos. Para um desempenho ideal, é recomendável implantar um servidor dedicado.
- O EventLog Analyzer usa o Elasticsearch. Espera-se que este mecanismo use o espaço fora da memória dinâmica para um desempenho melhor. A memória fora da dinâmica é mantida pelo sistema operacional e será liberada quando necessária.
Recomendações adicionais para o nó do Elasticsearch:
| Hardware | Mínimo | Recomendado |
|---|
| Velocidade básica | 2.4 GHz | 3 GHz |
| Núcleo | 12 | 16 |
| RAM | 64 | 64 |
| Espaço em disco | 1.2 TB | 1.5 TB |
| IOPS | 1500* | 1500* |
