- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 5.2 Установка коллектора
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 5.2 Установка коллектора
5.2 Установка коллектора
Перед началом установки необходимо скопировать файл установщика: collector.sh на удаленную машину, где будет развернут коллектор. Следующим шагом требуется повысить права до суперпользователя (root) командой:
Block of code
sudo su
Далее следует запустить установщик командой:
Block of code
./collector.sh
и пройти процесс интерактивной установки (ввести следующие параметры):
| Параметр | Описание | Пример |
|---|---|---|
IP-адрес SIEM | Адрес центрального сервера SIEM | 10.10.10.10 |
Размер Persistent Queue | Дисковый кэш на случай недоступности SIEM (Примерный расчет 3000eps/сутки = 260 Gb | 300 (Gb) |
Директория установки | Куда установить Collector | /opt/collector |
JVM Heap | Память для Java (рекомендуется 50% от RAM целевой машины) | 8 (Gb RAM) |
Port SIEM | Порт для отправки событий (по умолчанию - 514) | 513 |
Необходимо учитывать, что значение Persistent Queue должно быть больше суточного объема событий. При 3000 eps суточный объем ~260 Gb, поэтому 300 Gb запас на день.
Для продолжения установки необходимо ввести «у» или просто нажать кнопку Enter, так как «у» выбран по умолчанию:
Далее установщик выполнит автоматически следующие шаги:
- Шаг 1-3: Проверка наличия Docker, Docker Compose и их версий (если его нет, установщик попытается его загрузить, либо используется локальный офлайн-образ).
- Шаг 4: Проверка наличия образа Logstash (если его нет, установщик попытается его загрузить, либо используется локальный офлайн-образ).
- Шаг 5: Создание конфигурационных файлов на основе введенных параметров.
- Шаг 6: Проверка и настройка системных параметров.
- Шаг 7: Запуск контейнера Collector.
В результате будет создан Docker-контейнер, запущенный с помощью Docker Compose.
Установщик будет ожидать до 90 секунд, пока Logstash полностью запустится.
Успешный запуск Logstash будет подтвержден сообщением «[INFO] Logstash запущен».
Далее последует следующий вывод, который свидетельствует об успешной установке коллектора:
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 5.2 Установка коллектора
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 5.2 Установка коллектора
5.2 Установка коллектора
Перед началом установки необходимо скопировать файл установщика: collector.sh на удаленную машину, где будет развернут коллектор. Следующим шагом требуется повысить права до суперпользователя (root) командой:
Block of code
sudo su
Далее следует запустить установщик командой:
Block of code
./collector.sh
и пройти процесс интерактивной установки (ввести следующие параметры):
| Параметр | Описание | Пример |
|---|---|---|
IP-адрес SIEM | Адрес центрального сервера SIEM | 10.10.10.10 |
Размер Persistent Queue | Дисковый кэш на случай недоступности SIEM (Примерный расчет 3000eps/сутки = 260 Gb | 300 (Gb) |
Директория установки | Куда установить Collector | /opt/collector |
JVM Heap | Память для Java (рекомендуется 50% от RAM целевой машины) | 8 (Gb RAM) |
Port SIEM | Порт для отправки событий (по умолчанию - 514) | 513 |
Необходимо учитывать, что значение Persistent Queue должно быть больше суточного объема событий. При 3000 eps суточный объем ~260 Gb, поэтому 300 Gb запас на день.
Для продолжения установки необходимо ввести «у» или просто нажать кнопку Enter, так как «у» выбран по умолчанию:
Далее установщик выполнит автоматически следующие шаги:
- Шаг 1-3: Проверка наличия Docker, Docker Compose и их версий (если его нет, установщик попытается его загрузить, либо используется локальный офлайн-образ).
- Шаг 4: Проверка наличия образа Logstash (если его нет, установщик попытается его загрузить, либо используется локальный офлайн-образ).
- Шаг 5: Создание конфигурационных файлов на основе введенных параметров.
- Шаг 6: Проверка и настройка системных параметров.
- Шаг 7: Запуск контейнера Collector.
В результате будет создан Docker-контейнер, запущенный с помощью Docker Compose.
Установщик будет ожидать до 90 секунд, пока Logstash полностью запустится.
Успешный запуск Logstash будет подтвержден сообщением «[INFO] Logstash запущен».
Далее последует следующий вывод, который свидетельствует об успешной установке коллектора: