Arcsight Logger es una herramienta SIEM que nos permitirá monitorizar logs en tiempo de real de aplicaciones y sistemas, recibiendo alertas personalizadas en función de los eventos y alarmas configuradas.
Es capaz de leer multitud de formatos de log, tantos predefinidos como no contemplados:
-
SYSLOG o Common Event Format, paquetes UDP / TCP
-
SmartMessage de SmartConnectors
-
File Transfer, que permiten transferir logs con SCP, SFTP o FTP.
-
File Receiver que permite leer a través de NFS, CIFS o SAN.
Licencias y dimensionado
Los requerimientos del servidor dependerán en gran medida del flujo de datos a analizar. Existen dos factores principales que determinarán como medir el sistema a implementar:
-
EPS (Events Per Second): Número de eventos analizables por segundo
-
Tamaño de datos / día: muy relacionado con el anterior concepto, tamaño de log diario a analizar
Según el sistema al que implementar, tendremos que dimensionar el servidor y la licencia de Arcsight Logger. A continuación adjuntamos las principales licencias, características y requerimientos recomendados:
Modelo |
Dispositivos |
Máximo volumen |
Máximo volumen |
L750MB |
10 |
750MB |
500GB |
L5GB |
50 |
5GB |
2.5TB |
L30GB |
200 |
30GB |
8TB |
L80GB |
500 |
80GB |
42TB |
L160GB |
Sin límites |
160GB |
42TB |
L250GB |
Sin límites |
250GB |
42TB |
El sistema operativo recomendado es RedHat Linux o CentOS, y los recursos mínimos son 8 cores de CPU, una memoria de 12GB y un espacio en disco de al menos 1TB, ya que el ratio de compresión es de 10:1, aunque las necesidades de capacidad dependerán en gran medida de los EPS que debamos procesar, por lo que en aplicaciones de gran tamaño, el tamaño será mucho mayor.
Si decidimos hacer uso de Arcsight Express, que nos proporciona un paquete ya funciona en base a un appliance, podemos ver algunos ejemplos en la siguiente URL:
http://www.ndm.net/siem/arcsight/arcsight-express
Instalación y puesta en marcha
En nuestro caso, instalaremos en un servidor (8 cores, 16GB) con VMware y una VM con CentOS 6.5 la versión L750. Realizaremos configuración variada, como IP estática y diversos paquetes que necesitaremos para poner en marcha el servidor.
En primer lugar realizaremos la configuración previa en el manual de quickstart en el que aumentamos el límite de procesos por usuario que por defecto vienen definidos en el kernel.
Como root, editamos el archivo /etc/security/limits.d/90-nproc.conf y añadimos lo siguiente
* soft nproc 10240 * hard nproc 10240 * soft nofile 65536 * hard nofile 65536
Reiniciamos la máquina y ya está lista para instalar.
Copiaremos el binario de Arcsight Logger por SSH y lo ejecutaremos. La instalación es bastante sencilla sin nada que resaltar, a excepción de la creación del usuario administrador, de seleccionar que se instale como servicio y de la instalación de la licencia.
Acceso al backend web
Abriremos un navegador web y accederemos por HTTPS a la IP del servidor con las credenciales elegidas. A partir de aquí deberemos configurar el receiver y sus listener correspondientes para el procesamiento de datos.
Configuración del File Receiver
En la próxima entrada sobre SIEM, configuaremos Arcsight Logger para que reciba logs de Apache a través de NFS y los procese.
Comentarios