为什么需要分布式?
QRadar 组件角色
| 组件 | 角色 | 功能 |
|---|---|---|
| Console | 管理中心 | Web UI、API、报表、关联规则 |
| Event Collector (EC) | 事件收集 | 接收日志、缓存、转发 |
| Event Processor (EP) | 事件处理 | 解析、归一化、存储、关联 |
| Flow Collector (FC) | 流量收集 | 接收 NetFlow/sFlow |
| Flow Processor (FP) | 流量处理 | Flow 解析、存储 |
| App Host | 应用主机 | 运行 QRadar App |
| Data Node | 数据节点 | 扩展事件存储 |
| Wincollect Agent | 代理 | Windows 日志收集 |
典型部署架构
小型企业(< 5,000 EPS)
中型企业(5,000 - 30,000 EPS)
大型企业(> 30,000 EPS)
网络规划
| 流量类型 | 端口 | 说明 |
|---|---|---|
| Web UI | 443 | HTTPS 访问 |
| SSH 管理 | 22 | 命令行管理 |
| Syslog | 514/6514 | 日志接收 |
| NetFlow | 2055 | Flow 接收 |
| 内部通信 | 7788-7799 | 组件间通信 |
| App Host | 5000 | App 代理端口 |
安装步骤
# 添加 Managed Host
# Admin > System and License Management > Add Host
# 查看部署状态
/opt/qradar/bin/deploy_status.sh
# 强制重新部署
/opt/qradar/bin/deploy.sh性能监控
# Dashboard > System Monitoring
# 或使用 CLI:
/opt/qradar/bin/systemstatus.sh
# 查看 EPS/FPM
tail -f /var/log/qradar.log | grep -E "EPS|FPM"上一章:中级 - 08 UBA 下一章:02 - 性能调优