什么是 QRadar Community Edition?
QRadar Community Edition(CE)是 IBM 提供的免费版本,主要用于:
- 学习 QRadar 操作
- 开发测试(App、API)
- 小规模环境评估
⚠️ 限制说明:CE 有 50 EPS(Events Per Second) 限制,不支持生产环境。同时部分高级功能(如分布式部署、HA)不可用。
系统要求
| 资源 | 最低配置 | 推荐配置 | 说明 |
|---|---|---|---|
| CPU | 4 核 | 8 核 | 虚拟化支持(VT-x/AMD-V) |
| 内存 | 16 GB | 32 GB | 低于 16G 安装会失败 |
| 磁盘 | 256 GB | 500 GB+ | SSD 强烈建议 |
| 网络 | 1 Gbps | 1 Gbps | NAT 或桥接均可 |
| 虚拟化 | VMware/VirtualBox/KVM | VMware ESXi | OVA 导入最方便 |
安装方式一:OVA 导入(推荐)
1. 下载 OVA 文件
从 IBM 官方获取:
- 访问 https://www.ibm.com/community/qradar/
- 注册 IBM ID(免费)
- 下载 QRadar CE 7.5 OVA 文件(约 4-5 GB)
2. 导入虚拟机
VMware Workstation / ESXi:
# 使用 vmrun 命令行导入(可选)
vmrun import QRadarCE.vi /path/to/qradar-ce.ova
# 或在 GUI 中:
# File > Open > 选择 .ova 文件VirtualBox:
# 命令行导入
VBoxManage import qradar-ce.ova --vsys 0 --vmname "QRadar-CE"
# 修改网络为桥接模式(推荐用于实验)
VBoxManage modifyvm "QRadar-CE" --nic1 bridged --bridgeadapter1 eth03. 启动并配置
首次启动后的配置命令:
# SSH 登录(默认凭据见 OVA 说明)
ssh root@<qradar-ip>
# 查看系统状态
/opt/qradar/bin/systemstatus.sh
# 查看版本
/opt/qradar/bin/myver -v
# 查看服务状态
systemctl status hostservices
# 查看网络配置
ip addr show4. Web UI 初始设置
访问 https://<qradar-ip>:
- 接受许可协议
- 设置 admin 密码(要求:至少 8 位,含大小写+数字+特殊字符)
- 选择时区 — 建议与实验日志源保持一致(Asia/Shanghai)
- 配置邮件(可选,可跳过)
- 完成初始化
安装方式二:ISO 安装
适用于物理服务器或需要自定义分区的情况。
1. 下载 ISO
从 IBM Fix Central 下载 QRadar 7.5 ISO(约 5 GB)。
2. 创建启动介质
# Linux 写入 USB
sudo dd if=qradar-7.5.iso of=/dev/sdX bs=4M status=progress
# 或使用 Ventoy 制作多系统启动盘3. 安装步骤
安装过程中的关键选择:
| 步骤 | 推荐选择 | 说明 |
|---|---|---|
| 安装类型 | All-in-One | CE 只支持单机 |
| 磁盘分区 | 自动分区 | 或手动分配 /store 足够空间 |
| 网络 | 静态 IP | 避免 DHCP 变化导致连接问题 |
| 主机名 | qradar-ce.local | 或自定义 |
4. 安装后初始化
# 检查安装完整性
/opt/qradar/bin/myver -v
# 查看系统状态
/opt/qradar/bin/systemstatus.sh
# 查看 Ariel 数据库状态
/opt/qradar/bin/adoConfig.sh -l网络配置详解
静态 IP 配置
# 编辑网络配置
vi /etc/sysconfig/network-scripts/ifcfg-eth0
# 内容示例
DEVICE=eth0
BOOTPROTO=static
ONBOOT=yes
IPADDR=192.168.1.100
NETMASK=255.255.255.0
GATEWAY=192.168.1.1
DNS1=8.8.8.8
DNS2=114.114.114.114
# 重启网络
systemctl restart network
# 验证
ip addr show eth0
ping -c 3 8.8.8.8防火墙端口
QRadar 需要以下端口开放:
| 端口 | 协议 | 用途 |
|---|---|---|
| 22 | TCP | SSH 管理 |
| 443 | TCP | Web UI / API |
| 514 | UDP/TCP | Syslog 接收 |
| 2055 | UDP | NetFlow 接收 |
| 6514 | TCP | TLS Syslog |
| 7788-7799 | TCP | 内部组件通信 |
| 5000 | TCP | App Host 代理 |
# 查看防火墙规则
iptables -L -n | grep -E "514|443|22"
# 临时关闭防火墙(仅实验环境)
systemctl stop iptables
# 永久关闭(不推荐生产环境)
systemctl disable iptables常见问题与排错
问题 1:Web UI 无法访问
# 检查服务状态
systemctl status hostservices
# 查看 QRadar 日志
tail -f /var/log/qradar.log
# 检查端口监听
netstat -tlnp | grep 443
# 检查磁盘空间(低于 5GB 会导致服务异常)
df -h
# 修复 hostservices
systemctl restart hostservices问题 2:内存不足导致安装失败
# 检查内存
free -h
# 如果虚拟机内存不足,关闭后调整:
# VMware: 虚拟机设置 > 内存 > 改为 16GB+
# VirtualBox: 设置 > 系统 > 主板 > 内存 > 16GB+问题 3:时间不同步导致日志时间错乱
# 安装并启用 NTP
yum install ntpdate -y
ntpdate pool.ntp.org
# 或配置 chrony
systemctl enable chronyd
systemctl start chronyd问题 4:导入 OVA 后无法启动
# 常见问题:EFI/BIOS 设置不匹配
# 在 VM 设置中将固件类型改为 BIOS(而非 UEFI)
# VirtualBox 特定问题
VBoxManage modifyvm "QRadar-CE" --firmware bios验证安装成功
# 1. 版本检查
/opt/qradar/bin/myver -v
# 预期输出:QRadar 7.5.0 Build xxx
# 2. 服务检查
systemctl is-active hostservices
# 预期输出:active
# 3. 数据库检查
/opt/qradar/bin/adoConfig.sh -l | grep Status
# 预期输出:Status: Running
# 4. Web 访问测试
curl -k -I https://localhost
# 预期输出:HTTP/1.1 200 OK实验环境快照建议
VMware 快照命令:
vmrun snapshot /path/to/qradar-ce.vmx "clean-install"VirtualBox 快照:
VBoxManage snapshot "QRadar-CE" take "clean-install"配套资源
- 📄
00-official-docs/7.5/IBM_QRadar_7.5_Installation_Guide.pdf - 📄
00-official-docs/7.5/IBM_QRadar_7.5_Quick_Start_Guide.pdf - 📄
05-community-resources/IBM QRadar CE 7.5.pdf
上一章:01 - QRadar 是什么? 下一章:03 - 首次登录与界面导览