Типовые схемы развертывания KOMRAD Enterprise SIEM

В этом разделе описаны рекомендации по выбору конфигурации KOMRAD Enterprise SIEM, описаны типовые схемы развертывания.

Рекомендации по выбору конфигурации

KOMRAD Enterprise SIEM состоит из нескольких программных компонентов, что позволяет обеспечить внедрение и масштабирование системы в организациях любого размера. В зависимости от сложности IT-инфраструктуры могут применяться следующие конфигурации KOMRAD.

Схема 1 - Все компоненты на одном узле

Тип лицензии: BASE, All-in-One, Enterprise.
Описание:

  • все компоненты KOMRAD устанавливаются на один сервер

  • рекомендации:

    • постоянный мониторинг свободного места в файловой системе из-за постоянной записи событий в базы данных

    • количество EPS зависит от мощности сервера, а также от загруженности центрального процессора. Чем больше центральный процессор загружен другими процессами, тем меньшее количество событий от источников он будет нормализовать в корреляторе

    • при достижении 70% загруженности процессора и подсистемы жестких дисков рекомендуем перенести СУБД на отдельный сервер. Так снизится нагрузка на процессор и файловую подсистему

    • резервные копии баз данных храните в другом дисковом массиве, желательно в системе хранения данных (СХД)

Схема 2 - СУБД на одном узле, остальные компоненты на другом

Тип лицензии: Enterprise.
Описание:

  • все компоненты KOMRAD устанавливаются на один сервер

  • сервер СУБД ClickHouse и PostgreSQL разворачиваются на отдельном узле

Схема 3 - Распределенные компоненты

Тип лицензии: Enterprise.
Описание:

  • компоненты KOMRAD устанавливаются на разных узлах

Для упрощения данного варианта размещения достаточно разнести коллекторы, komrad-processor, komrad-bus, а также СУБД ClickHouse и PostgreSQL на отдельные узлы. Остальные же компоненты разместить на одном узле

Такая схема позволит увеличить производительность в случаях, когда текущие аппаратные мощности сервера не справляются с нагрузкой

Последнее изменение 12.02.2023