Типовые схемы развертывания KOMRAD Enterprise SIEM
В этом разделе описаны рекомендации по выбору конфигурации KOMRAD Enterprise SIEM, описаны типовые схемы развертывания.
Рекомендации по выбору конфигурации
KOMRAD Enterprise SIEM состоит из нескольких программных компонентов, что позволяет обеспечить внедрение и масштабирование системы в организациях любого размера. В зависимости от сложности IT-инфраструктуры могут применяться следующие конфигурации.
Схема 1 - Все компоненты на одном узле
Тип лицензии: BASE, All-in-One, Enterprise
Описание:
- все компоненты KOMRAD устанавливаются на один сервер
- рекомендации:
- постоянный мониторинг свободного места в файловой системе из-за постоянной записи событий в базы данных
- количество EPS зависит от мощности сервера, а также от загруженности центрального процессора. Чем больше центральный процессор загружен другими процессами, тем меньшее количество событий от источников он будет нормализовать в корреляторе
- при достижении 70% загруженности процессора и подсистемы жестких дисков рекомендуем перенести СУБД на отдельный сервер. Так снизится нагрузка на процессор и файловую подсистему
- резервные копии баз данных храните в другом дисковом массиве, желательно в системе хранения данных (СХД)
Схема 2 - СУБД на одном узле, остальные компоненты на другом
Тип лицензии: Enterprise
Описание:
- все компоненты KOMRAD устанавливаются на один сервер
- сервер СУБД ClickHouse и PostgreSQL разворачиваются на отдельном узле
Схема 3 - Распределенные компоненты
Тип лицензии: Enterprise
Описание:
- компоненты KOMRAD устанавливаются на разных узлах
подсказка
Для упрощения данного варианта размещения достаточно разнести коллекторы, komrad-processor,
komrad-bus, а также СУБД ClickHouse и PostgreSQL на отдельные узлы. Остальные же компоненты разместить на одном узлеТакая схема позволит увеличить производительность в случаях, когда текущие аппаратные мощности сервера не справляются с нагрузкой.