Типовые схемы развертывания KOMRAD Enterprise SIEM

В этом разделе описаны рекомендации по выбору конфигурации KOMRAD Enterprise SIEM, описаны типовые схемы развертывания.

Рекомендации по выбору конфигурации

KOMRAD Enterprise SIEM состоит из нескольких программных компонентов, что позволяет обеспечить внедрение и масштабирование системы в организациях любого размера. В зависимости от сложности IT-инфраструктуры могут применяться следующие конфигурации ПК «КОМРАД».

Схема 1 - Все компоненты на одном узле

Тип лицензии: BASE, All-in-One, Enterprise.
Описание:

  • все компоненты ПК «КОМРАД» устанавливаются на один сервер;

  • рекомендации:

    • постоянный мониторинг свободного места в файловой системе из-за постоянной записи событий в базы данных;

    • количество EPS зависит от мощности сервера, а также от загруженности центрального процессора. Чем больше центральный процессор загружен другими процессами, тем меньшее количество событий от источников он будет нормализовать в корреляторе;

    • при достижении 70% загруженности процессора и подсистемы жестких дисков рекомендуем перенести СУБД на отдельный сервер. Так снизится нагрузка на процессор и файловую подсистему;

    • резервные копии баз данных храните в другом дисковом массиве, желательно в системе хранения данных (СХД).

Схема 2 - СУБД на одном узле, остальные компоненты на другом

Тип лицензии: Enterprise.
Описание:

  • все компоненты ПК «КОМРАД» устанавливаются на один сервер;

  • сервер СУБД ClickHouse и PostgreSQL разворачиваются на отдельном узле.

Схема 3 - Распределенные компоненты

Тип лицензии: Enterprise.
Описание:

  • компоненты ПК «КОМРАД» устанавливаются на разных узлах.

Для упрощения данного варианта размещения достаточно разнести коллекторы, komrad-processor, komrad-bus, а также СУБД ClickHouse и PostgreSQL на отдельные узлы. Остальные же компоненты разместить на одном узле.

Такая схема позволит увеличить производительность в случаях, когда текущие аппаратные мощности сервера не справляются с нагрузкой.