仮想ホスト設定:導入の基本情報

Document created by RSA Information Design and Development on Apr 23, 2018
Version 1Show Document
  • View in full screen mode
 

このトピックでは、仮想環境にRSANetWitness Suite11.0.0.0を導入するための一般的なガイドラインと要件について説明します。

「仮想ホスト設定ガイド」で使用される略語

                                                                                       
略語説明
CPU中央処理装置
EPS秒あたりのイベントの数
VMware ESXエンタープライズ クラス、タイプ1 ハイパーバイザー、サポート対象のバージョン - 6.5、6.0、5.5
GBギガバイト。1 GB = 1,000,000,000バイト
Gbギガビット。1 Gb = 1,000,000,000ビット。
Gbpsギガビット/秒、つまり10億ビット/秒。光ファイバーなどのデジタル データ転送メディアの帯域幅 を表します。
GHzギガヘルツ。1 GHz = 1,000,000,000 Hz
IOPS1秒あたりのI/O処理数
Mbpsメガビット/秒、つまり100万ビット/秒。光ファイバーなどのデジタル データ転送メディアの帯域幅 を表します。
NASネットワーク接続型ストレージ
OVFオープン仮想化形式
OVAOpen Virtual Appliance このガイドでは、OVAは Open Virtual Hostを意味します。
RAMランダム アクセス メモリ(メモリとも呼ばれる)
SANストレージ エリア ネットワーク
SSD/EFD HDDソリッド ステート ドライブ/エンタープライズ フラッシュ ドライブのハード ディスク ドライブ
SCSISmall Computer System Interface
SCSI(SAS)ハード ドライブやテープ ドライブなどの ストレージ デバイスにデータを転送するためのポイント ツー ポイント シリアル プロトコルです。
vCPU仮想中央処理装置(仮想プロセッサーとも呼ばれる)
vRAM仮想ランダム アクセス メモリ(仮想メモリとも呼ばれる)

サポートされる仮想ホスト

次のNetWitness Suiteホストを仮想ホストとして仮想環境にインストールできます。仮想環境によって提供される機能を継承できます。

  • NetWitnessサーバ
  • Event Stream Analysis:ESAプライマリとESAセカンダリ
  • Archiver
  • Broker
  • Concentrator
  • Log Decoder
  • Malware Analysis
  • Decoder
  • リモートLog Collector

次のVMwareインフラストラクチャの概念に精通している必要があります。

  • VMware vCenter Server
  • VMware ESXi
  • 仮想マシン

VMwareの概念については、VMware製品ドキュメントを参照してください。

仮想ホストは、OVAとして提供されます。仮想インフラストラクチャにOVAファイルを導入し、仮想マシンを構築する必要があります。

インストール メディア

インストール メディアは、OVAパッケージの形式で提供され、Download Central(https://download.rsasecurity.com)からダウンロードしてインストールすることができます。製品を購入いただくと、OVAにアクセスできるようになります。

仮想環境の推奨事項

OVAパッケージによりインストールされる仮想ホストは、NetWitness Suiteハードウェア ホストと同じ機能を持ちます。つまり、仮想ホストを導入する際に、バックエンド ハードウェアを考慮する必要があります。RSAでは、仮想環境の設定時に、次のタスクを実行することを推奨します。

  • さまざまなコンポーネントのリソース要件に基づき、ベスト プラクティスに沿ったシステムおよび専用のストレージを適切に導入します。
  • バックエンドのディスクは、導入環境に必要な収集レートよりも一貫して10%以上高速な書き込み速度を達成できるよう構成します。
  • OVAでは、ホスト アプライアンスあたり32 GBのRAMが必要です。
  • Concentratorのメタ データベースとインデックス データベースのディレクトリは、SSD/EFD HDD上に構築します。
  • データベース コンポーネントがOS(オペレーティング システム)コンポーネントから独立している(つまり、独立した物理システム上にある)場合、次のいずれかの直接接続を使用します。
    • 仮想ホストごとに2つの8 Gbpsファイバー チャネルを使用したSAN
      または
    • 6 Gbpsシリアル アタッチSCSI(SAS)

注:1.) 現時点では、NetWitness Suiteは仮想環境でのNASの使用をサポートしません。
2.) Decoderでは、継続的スループット要件を満たしていれば、どのようなストレージ構成でもかまいません。SANへの標準の8 Gbpsファイバー チャネル リンクは、10 Gbでのパケット データの読み書きには不十分です。10G DecoderをSANに接続する場合は、複数のファイバー チャネルを使用する必要があります。

仮想ホストの推奨システム要件

次の表は、EPSレート(ログ)またはMbps収集レート(パケット)に基づき、各コンポーネントの仮想ホストのvCPU、vRAM、読み取り/書き込みIOPSの推奨要件を示しています。

  • ストレージの割り当ては、「ステップ3.NetWitness Suiteのデータベースの構成」で説明します。
  • vRAMおよびvCPUの推奨値は、収集レート、構成、有効化されたコンテンツによって異なります。
  • 推奨事項は、ログについては最大25,000 EPSの取得レートで、SSLではないパケットについては最大2 Gbpsの取得レートでテストしました。
  • 以下の表に記載されているすべてのコンポーネントのvCPUの仕様は、
    Intel Xeon CPU @2.59 Ghzです。
  • すべてのポートは、ログ用には15,000 EPSで、パケット用には1.5 Gbpsで、SSLでテストされています。

注:新規機能と拡張機能をインストールして試用する場合、前述の推奨値は11.0.0.0インストールと異なる場合があります。

シナリオ1

これらの表の要件は、次の条件で計算されました。

  • すべてのコンポーネントが統合されている。
  • ログ ストリームには、Log Decoder、Concentrator、Archiverがある。
  • パケット ストリームには、Packet DecoderとConcentratorがある。

  • バック グラウンド負荷には、1時間ごとのレポートと日次レポートがある。
  • チャートが構成されている。

Log Decoder

                                      
EPSCPUメモリ読み取りIOPS書き込みIOPS
2,5006または15.60 GHz32 GB5075

5,000

8または20.79 GHz

32 GB

100

100

7,500

10または25.99 GHz

32 GB

150

150

Packet Decoder

                                      
MbpsCPUメモリ読み取りIOPS書き込みIOPS
504または10.39 GHz 32 GB 50150
1004または10.39 GHz 32 GB 50250
2504または10.39 GHz 32 GB50350

Concentrator - ログ ストリーム

                                      
EPSCPUメモリ読み取りIOPS書き込みIOPS

2,500

4または10.39 GHz

32 GB

300

1,800

5,0004または10.39 GHz32 GB4002,350
7,500 6または15.59 GHz32 GB5004,500

Concentrator - パケット ストリーム

                                      
MbpsCPUメモリ読み取りIOPS書き込みIOPS
50 4または10.39 GHz 32 GB 50 1,350
100 4または10.39 GHz 32 GB 1001,700
250 4または10.39 GHz 32 GB1502,100

Achiver

                                      
EPSCPUメモリ読み取りIOPS書き込みIOPS
2,500 4または10.39 GHz 32 GB 150 250
5,000 4または10.39 GHz 32 GB 150250
7,500 6または15.59 GHz 32 GB150350

シナリオ2

これらの表の要件は、次の条件で計算されました。

  • すべてのコンポーネントが統合されている。
  • ログ ストリームには、Log Decoder、Concentrator、Warehouse Connector、Archiverがある。
  • パケット ストリームには、Packet Decoder、Concentrator、Warehouse Connectorがある。
  • Event Stream Analysisでは、90K EPSで3台のHybrid Concentratorから集計する。
  • Incident Managementでは、Event Stream AnalysisとReporting Engineからアラートを受信する。
  • バックグラウンド負荷には、レポート、チャート、アラート、調査、インシデント管理が含まれている。
  • アラートが構成されている。

Log Decoder

                               
EPSCPUメモリ読み取りIOPS書き込みIOPS
10,00016または41.58 GHz50 GB30050

15,000

20または51.98 GHz

60 GB

550

100

Packet Decoder

                                      
MbpsCPUメモリ読み取りIOPS書き込みIOPS
500 8または20.79 GHz40 GB150200
1,00012または31.18 GHz50 GB200400
1,50016または41.58 GHz75 GB200500

Concentrator - ログ ストリーム

                               
EPSCPUメモリ読み取りIOPS書き込みIOPS
10,00010または25.99 GHz50 GB1,550 + 506,500
15,00012または31.18 GHz60 GB1,200 + 4007,600

Concentrator - パケット ストリーム

                                      
MbpsCPUメモリ読み取りIOPS書き込みIOPS
500 12または31.18 GHz50 GB2504,600
1,00016または41.58 GHz50 GB5505,500
1,50024または62.38 GHz75 GB1,0506,500

Warehouse Connector - ログ ストリーム

                               
EPSCPUメモリ読み取りIOPS書き込みIOPS
10,0008または20.79 GHz30 GB5050
15,00010または25.99 GHz35 GB5050

Warehouse Connector - パケット ストリーム

                                      
MbpsCPUメモリ読み取りIOPS書き込みIOPS
500 6または15.59 GHz32 GB5050
1,0006または15.59 GHz32 GB5050

1,500

8または20.79 GHz

40 GB5050

Archiver - ログ ストリーム

                               
EPSCPUメモリ読み取りIOPS書き込みIOPS
10,00012または31.18 GHz40 GB1,300700
15,00014または36.38 GHz45 GB1,200900

ESA(Event Stream Analysis)とContext Hub

                        
EPSCPUメモリ読み取りIOPS書き込みIOPS
90,00032または83.16 GHz94 GB5050

NetWitnessサーバと同じ場所にあるコンポーネント

NetWitnessサーバ、Jetty、Broker、Incident Management、Reporting Engineは同じ場所にあります。

                     
CPUメモリ読み取りIOPS書き込みIOPS
12または31.18 GHz 50 GB100350

シナリオ3

これらの表の要件は、次の条件で計算されました。

  • すべてのコンポーネントが統合されている。
  • ログ ストリームには、Log DecoderとConcentratorがある。
  • パケット ストリームには、Packet DecoderとConcentratorがある。
  • Event Stream Analysisでは、90K EPSで3台のHybrid Concentratorから集計する。
  • Incident Managementでは、Event Stream AnalysisとReporting Engineからアラートを受信する。
  • バック グラウンド負荷には、1時間ごとのレポートと日次レポートがある。

  • チャートが構成されている。

Log Decoder

                        
EPSCPUメモリ読み取りIOPS書き込みIOPS
25,00032または83.16 GHz75 GB250150

Packet Decoder

                        
MbpsCPUメモリ読み取りIOPS書き込みIOPS
2,00016または41.58 GHz75 GB50650

Concentrator - ログ ストリーム

                        
EPSCPUメモリ読み取りIOPS書き込みIOPS
25,00016または41.58 GHz75 GB6509,200

Concentrator - パケット ストリーム

                        
MbpsCPUメモリ読み取りIOPS書き込みIOPS
2,00024または62.38 GHz75 GB1507,050

Log Collector(ローカルおよびリモート)

リモートLog Collectorは、リモート ホストで実行されているLog Collectorサービスであり、リモートCollectorは仮想的に導入されます。

                               
EPSCPUメモリ読み取りIOPS書き込みIOPS
15,0008または20.79 GHz8 GB5050
30,0008または20.79 GHz15 GB100100

リモートLog Collectorのサイジング ガイドライン

Legacy Windows Collectorのサイジングのガイドラインについては、「RSA NetWitness Suite Legacy Windows収集 アップグレードおよびインストール」を参照してください。

Previous Topic:概要
You are here
Table of Contents > 導入の基本情報

Attachments

    Outcomes