1. 설치하려는 서버의 RAID 구성
| QRadar 호스트 | RAID 구성 단계 |
| Flow collector QRadar Network Insights (QNI) |
RAID1 (미러링) |
| Data node Event processor Flow processor Event and flow processor All-in-one console |
RAID6 (2 parity) |
| Event collector | RAID10 (미러링+스트라이핑) |
위 표는 IBM에서 권장하는 RAID 구성이고, 사용자의 니즈에 맞춰 구성하면 됩니다.
RAID설명: https://raisonde.tistory.com/entry/RAID0부터-RAID7까지-모든-RAID구성을-알아보자 [지식잡식]
2. IBM에서 다운로드 받는 파일이 QRFULL ISO인지 확인
QRFULL 이미지 파일 하나만 다운로드 받아두면 APP host, QNI, collector, processor, data node, aio console 아무거나 설치가 가능하니 QRFULL 이미지 파일과 해쉬 파일에 해당하는 sha256 파일을 꼭 다운로드하시길 권장합니다.
3. 서버 자원 할당
QRadar installation Guide를 살펴보면, 리눅스 버젼, 비트버젼, 최소 RAM, 최소 CPU, 최소 Storage 등
다양한 조건을 맞춰야 정상적으로 작동합니다.
7.4부터는 리눅스 버젼 7.7이상, 7.3.3은 리눅스 7.2 64bit
App Host의 최소 RAM은 12GB, All-in-One Console 3199 (5000 EPS and 200,000 FPM)의 최소 RAM은 32GB
App Host의 최소 CPU코어는 4개, All-in-One Console 3199 (5000 EPS and 200,000 FPM)의 최소 CPU코어는 16개
저장공간은 최소 256GB이상 들어가야합니다.
이벤트와 플로우를 저장하는 서버면 테라단위로 있어야 /store 파티션을 넉넉하게 사용할 수 있습니다.
위 정보는 구글에 검색하면 나오기 때문에
자주 설치하다보면 자연스럽게 외워집니다.
https://www.ibm.com/docs/en/SS42VS_7.3.3/com.ibm.qradar.doc/b_siem_inst.pdf
4. 설정할 Hostname, IP, DNS 적어놓기
레드햇 리눅스의 설치와 QRadar 설치를 마치면 네트워크 설정으로 넘어가게 됩니다.
'일 > IBM QRadar' 카테고리의 다른 글
| IBM QRadar 자동으로 오펜스 닫기(Auto closing offenses) Perl Script (0) | 2021.10.08 |
|---|---|
| QRadar network_hierachy perl script (0) | 2021.10.07 |
| QRadar 로그 소스 (소스포트) 생성 - 펄 스크립트 (0) | 2021.10.07 |
| IBM QRadar Structure (0) | 2021.08.06 |
| 안녕하세요? 초보 QRadar 엔지니어입니다. (0) | 2021.07.23 |