Dimensionado e instalación de la herramienta SIEM HP Arcsight Logger

Dimensionado e instalación de la herramienta SIEM HP Arcsight Logger

Arcsight Logger es una herramienta SIEM que nos permitirá monitorizar logs en tiempo de real de aplicaciones y sistemas, recibiendo alertas personalizadas en función de los eventos y alarmas configuradas.

 

Es capaz de leer multitud de formatos de log, tantos predefinidos como no contemplados:

  • SYSLOG o Common Event Format, paquetes UDP / TCP

  • SmartMessage de SmartConnectors

  • File Transfer, que permiten transferir logs con SCP, SFTP o FTP.

  • File Receiver que permite leer a través de NFS, CIFS o SAN.

 

Licencias y dimensionado

Los requerimientos del servidor dependerán en gran medida del flujo de datos a analizar. Existen dos factores principales que determinarán como medir el sistema a implementar:

  • EPS (Events Per Second): Número de eventos analizables por segundo

  • Tamaño de datos / día: muy relacionado con el anterior concepto, tamaño de log diario a analizar


Según el sistema al que implementar, tendremos que dimensionar el servidor y la licencia de Arcsight Logger. A continuación adjuntamos las principales licencias, características y requerimientos recomendados:


Modelo

Dispositivos

Máximo volumen
de log diario

Máximo volumen
de búsqueda

L750MB

10

750MB

500GB

L5GB

50

5GB

2.5TB

L30GB

200

30GB

8TB

L80GB

500

80GB

42TB

L160GB

Sin límites

160GB

42TB

L250GB

Sin límites

250GB

42TB


El sistema operativo recomendado es RedHat Linux o CentOS, y los recursos mínimos son 8 cores de CPU, una memoria de 12GB y un espacio en disco de al menos 1TB, ya que el ratio de compresión es de 10:1, aunque las necesidades de capacidad dependerán en gran medida de los EPS que debamos procesar, por lo que en aplicaciones de gran tamaño, el tamaño será mucho mayor.

Si decidimos hacer uso de Arcsight Express, que nos proporciona un paquete ya funciona en base a un appliance, podemos ver algunos ejemplos en la siguiente URL:

http://www.ndm.net/siem/arcsight/arcsight-express


Instalación y puesta en marcha


En nuestro caso, instalaremos en un servidor (8 cores, 16GB) con VMware y una VM con CentOS 6.5 la versión L750. Realizaremos configuración variada, como IP estática y diversos paquetes que necesitaremos para poner en marcha el servidor.

En primer lugar realizaremos la configuración previa en el manual de quickstart en el que aumentamos el límite de procesos por usuario que por defecto vienen definidos en el kernel.

Como root, editamos el archivo /etc/security/limits.d/90-nproc.conf y añadimos lo siguiente


* soft nproc 10240
* hard nproc 10240
* soft nofile 65536
* hard nofile 65536

Reiniciamos la máquina y ya está lista para instalar.


Copiaremos el binario de Arcsight Logger por SSH y lo ejecutaremos. La instalación es bastante sencilla sin nada que resaltar, a excepción de la creación del usuario administrador, de seleccionar que se instale como servicio y de la instalación de la licencia.


Acceso al backend web

Abriremos un navegador web y accederemos por HTTPS a la IP del servidor con las credenciales elegidas. A partir de aquí deberemos configurar el receiver y sus listener correspondientes para el procesamiento de datos.

Arcsight dashboard

Configuración del File Receiver

En la próxima entrada sobre SIEM, configuaremos Arcsight Logger para que reciba logs de Apache a través de NFS y los procese.

Comentarios

Sin comentarios
Ha habido un error en el envío
Comentario enviado. Será revisado por la moderación antes de ser publicado.

Deja tu comentario

Tu nombre:
Tu email:
Tu comentario:
Nuestra página web utiliza cookies propias y de terceros, para realizar el análisis de la navegación de los usuarios y así poder mejorar nuestros servicios. Si continúas navegando, consideramos que aceptas su uso. Puedes cambiar la configuración u obtener más información aquí