PG Software, distributeur historique des solutions ManageEngine en France, depuis 2004
Configuration requise pour EventLog Analyzer
Cette section énumère la configuration requise pour installer et utiliser EventLog Analyzer (éditions distribuée et autonome).
- Matériel
- Recommandations générales
Matériel
Les solutions de gestion des journaux sont gourmandes en ressources et le choix du matériel adéquat joue un rôle majeur dans l'obtention de performances optimales.
Le tableau suivant indique les exigences matérielles suggérées en fonction du type de flux.
| Faible débit | Débit normal | Débit élevé | |
|---|---|---|---|
| Cœurs de processeur | 6 | 12 | 24 |
| RAM | 16 GB | 32 GB | 64 GB |
| IOPS | 150 | 750 | 1500 * |
| Espace disque | 1.2 TB | 3 TB * | 4 TB * |
| Capacité de la carte réseau | 1 GB/s | 1 GB/s | 10 GB/s |
| Architecture de l'unité centrale | 64-bit | 64-bit | 64-bit |
Note :
- Les valeurs mentionnées ci-dessus sont approximatives. Il est recommandé d'exécuter un environnement de test similaire à l'environnement de production avec les détails de configuration mentionnés dans le tableau ci-dessus. En fonction du flux exact et de la taille des données, les exigences du système peuvent être affinées.
- Pour des IOPS plus élevés, nous pouvons utiliser RAID ou SSD.
Utilisez le tableau suivant pour déterminer le type de flux pour votre instance.
| Type de log | Taille (en octets) | Catégorie | Unités logarithmiques | ||
|---|---|---|---|---|---|
| Faible débit (EPS) | Débit normal (EPS) | Débit élevé (EPS) | |||
| Windows | 900 | Windows | 300 | 1500 | 3000 |
| Linux, HP, pfSense, Juniper | 150 | Type 1 Syslogs | 2000 | 10000 | 20000 |
| Cisco. Sonicwall, Huaweii, Netscreen, Meraki, H3C | 300 | Type 2 Syslogs | 1500 | 6000 | 12000 |
| Barracuda, Fortinet, Checkpoint | 450 | Type 3 Syslogs | 1200 | 4000 | 7000 |
| Palo Alto, Sophos, F5, Firepower, and other syslogs | 600 | Type 4 Syslogs | 800 | 2500 | 5000 |
Note :
- Un serveur à installation unique peut gérer soit un maximum de 3 000 journaux Windows, soit l'une des valeurs de débit élevées mentionnées pour chaque type de journal dans le tableau ci-dessus.
- Pour les types de journaux qui ne sont pas mentionnés dans le tableau ci-dessus, choisissez la catégorie appropriée en fonction de la taille du journal. Par exemple, dans le cas des journaux du serveur SQL, lorsque la taille de l'octet est de 900 octets et que l'EPS est de 3000, ils doivent être considérés comme des journaux à haut débit.
- Si le flux combiné est supérieur à ce qu'un seul nœud peut gérer, il est recommandé de mettre en œuvre une configuration distribuée.
- Il est recommandé de choisir la bande supérieure suivante si des analyses de menaces avancées et un grand nombre de règles de corrélation ont été utilisés.
Recommandations générales :
Infrastructure VM
- Allouez 100 % de RAM/CPU à la machine virtuelle qui exécute EventLog Analyzer. Le partage de la mémoire/du CPU avec d'autres machines virtuelles sur le même hôte peut entraîner une pénurie de RAM/de CPU et avoir un impact négatif sur les performances de l'analyseur EventLog.
- Employer le provisionnement épais, car le provisionnement fin augmente la latence des E/S. Dans le cas de VMware, sélectionnez Thick provisioned, eagerly zeroed, car lazily zeroed est moins performant.
- L'activation des instantanés de VM n'est pas recommandée car l'hôte duplique les données dans plusieurs blocs en augmentant les lectures et les écritures, ce qui entraîne une augmentation de la latence des E/S et une dégradation des performances.
CPU et RAM :
- L'utilisation de l'unité centrale du serveur doit toujours être maintenue en dessous de 85 % pour garantir des performances optimales.
- 50 % de la mémoire vive du serveur doit rester libre pour l'utilisation hors pile d'Elasticsearch afin d'obtenir des performances optimales.
Disque :
- La latence du disque affecte considérablement les performances de l'analyseur d'événements. Le stockage en attachement direct (DAS) est recommandé au même titre qu'un disque SSD, avec une latence proche de zéro et un débit élevé. Un réseau de stockage d'entreprise (SAN) peut être plus rapide qu'un disque SSD.
Actuellement, seuls les lecteurs locaux et distants (NAS) sont pris en charge par EventLog Analyzer pour le stockage de l'index de recherche en direct et des données d'archive.
Note complémentaire : Les index de recherche nécessitent un accès aléatoire rapide aux fichiers d'index, ce qui n'est pas possible avec les magasins de données de type blob tels que S3 et Azure Blob store.
Navigateurs web
EventLog Analyzer a été testé pour prendre en charge les navigateurs et versions suivants avec une résolution d'affichage d'au moins 1024x768 :
- Microsoft Edge
- Firefox 4 et versions supérieures
- Chrome 8 et supérieur
Bases de données
EventLog Analyzer peut utiliser les bases de données suivantes comme base de données back-end.
Fourni avec le produit
- PostgreSQL
Bases de données externes
- Microsoft SQL 2012 et supérieur
Veuillez noter la configuration matérielle requise pour configurer la base de données MS SQL pour EventLog Analyzer :
| RAM | CPU | IOPS | Espace disque |
|---|---|---|---|
| 8GB | 6 | 300-500 | 300-500 GB |
Systèmes d'exploitation
EventLog Analyzer peut être installé sur des machines utilisant les systèmes d'exploitation et les versions suivants :
- Windows 7 et supérieur, et Windows Server 2008 et supérieur
- Linux: Ubuntu 16, Ubuntu 18, Ubuntu 19, CentOS 7, CentOS 8, OpenSUSE 15, RedHat 7, Fedora 31
Serveur d'installation
- Les solutions SIEM sont gourmandes en ressources. Il est recommandé de leur fournir un serveur dédié pour optimiser leurs performances.
- Eventlog Analyzer utilise Elasticsearch. Le processus Elasticsearch est censé utiliser la mémoire hors-cap pour de meilleures performances. La mémoire hors-tableau est gérée par le système d'exploitation et se libère lorsque cela s'avère nécessaire.
Recommandations supplémentaires concernant les nœuds Elasticsearch :
| Matériel | Minimum | Recommandé |
|---|---|---|
| Vitesse de base | 2.4 GHz | 3 GHz |
| Core | 12 | 16 |
| RAM | 64 | 64 |
| Espace disque | 1.2 TB | 1.5 TB |
| IOPS | 1500* | 1500* |
Derniers blogs
- Le Patch Tuesday de novembre 2024 propose des correctifs pour 89 vulnérabilités, dont 4 zero day.
- Le Patch Tuesday d'octobre 2024 contient des correctifs pour 117 vulnérabilités, dont 5 zero-days.
- Les états des données, Intro : Pourquoi protéger les données au repos, en cours d'utilisation et en mouvement ?
- Revue de l'USB, Partie 2 : Comment gérer les devices USB ?
Dernières mises à jour
- PAM360 : Nouvelle version 7300
- Key Manager Plus : Nouvelle version 7000
- ADSelfService Plus : Nouvelle version 6507
- SharePoint Manager Plus - Version 4503
- ADManager Plus MSP : Nouvelle version 7252
- Password Manager Pro : Nouvelle version 12460
- ADManager Plus : Nouvelle version 7252
- RecoveryManager Plus : Nouvelle version 6205