EventLog Analyzer 動作環境、システム要件
ハードウェア要件
推奨構成
| ログ流量:低 | ログ流量:中 | ログ流量:高 | |
|---|---|---|---|
| CPU コア数 | 6 | 12 | 24 |
| CPU アーキテクチャー | 64bit | 64bit | 64bit |
| RAM(メモリ) | 16GB | 32GB | 48GB |
| ディスクタイプ | HDD/SSD | HDD/SSD | HDD/SSD |
| IOPS | 150 | 750 | 1500 |
| ディスク容量 | 1.2TB | 3TB | 4TB |
| ネットワークカード通信速度 | 1GB/s | 1GB/s | 10GB/s |
注意点
- OS依存分は除きます。
- 専用サーバーを用意し、製品単体で運用した場合を前提としています。
- 上記の値は参考値です。導入の前に、実運用環境またはそれと同等の環境で十分に製品を評価し、利用用途、要件、利用環境に適合することをご確認ください。導入前に、製品導入前の確認事項を必ずご確認ください。
- より正確なハードウェア要件を計算するためには、こちらのページ内の「System resources calculator」をクリック後、必要情報(ログ流量やログ保存日数)を入力してください。
- より高いIOPSを実現するために、ディスクタイプはSSDを推奨します。IOPSは、製品パフォーマンスに大きな影響を与えます。
- ログ流量レベルが「高」の場合のRAMは、最大2TBのデータをリアルタイムで処理できます。
- 検索するログの量が多い場合(処理するデータ量が2TBを超える場合)、必要なRAMは「(インデックスデータのサイズ(GB) / 60 )+ 16GB」で計算します。
- 最善のパフォーマンスを得るために、EventLog AnalyzerサーバーのCPU使用率が常に85%を下回るよう管理してください。
- EventLog AnalyzerがバンドルするElasticsearchが使用するオフヒープメモリを確保するため、EventLog Analyzerサーバーに実装するメモリ(RAM)の50%を未使用にしておくことを推奨します。オフヒープメモリは、オペレーティングシステムによって管理され、必要に応じて解放されます。
- 仮想マシン(VM)にEventLog Analyzerをインストールする場合は、以下の点をご確認ください。
- EventLog Analyzerが稼働する仮想マシンに対して100%のCPU/RAMを割り当ててください。同じホスト上の他の仮想マシンとメモリ/CPUを共有すると、RAM/CPUが不足し、EventLog Analyzerのパフォーマンスに影響を与える可能性があります。
- シンプロビジョニングはI/Oレイテンシを増加させるため、シックプロビジョニングを採用してください。
- 製品パフォーマンスに影響を与えるため、定期的なスナップショットの取得は非推奨です。
ハードウェア要件の推奨構成を参照する際、お客様環境のログ流量レベル(低・中・高)を把握するために、以下の表をご参照いただけます。
| ログタイプ | サイズ (バイト) | カテゴリ | ログ流量 | ||
|---|---|---|---|---|---|
| 低 (EPS) | 中 (EPS) | 高 (EPS) | |||
| Windows | 900 | Windows | 300 | 1500 | 3000 |
| Linux、HP、pfSense、Juniper | 150 | Syslog タイプ1 | 2000 | 10000 | 20000 |
| Cisco、SonicWall、Huaweii、NetScreen、Meraki、H3C | 300 | Syslog タイプ2 | 1500 | 6000 | 12000 |
| Barracuda、Fortinet、Check Point | 450 | Syslog タイプ3 | 1200 | 4000 | 7000 |
| Palo Alto、Sophos、F5、Firepower、その他のSyslog | 600 | Syslog タイプ4 | 800 | 2500 | 5000 |
注意点
- 単一のEventLog Analyzerインスタンスが処理できる最大のログ流量は、Windowsログの場合「3000EPS」です。Windows以外のログの場合、上記表の各ログタイプに記載されている「高」の値をご参照ください。
- 上記表に記載されていないログタイプについては、ログサイズに応じて適切なカテゴリをご参照ください。例えば、Microsoft SQL Serverログの場合、1件のログサイズが900バイトかつEPSが3000であれば、ログ流量レベルは「高」であると判断します。
- 単一のEventLog Analyzerインスタンスが処理できるログ流量以上のログを収集する場合、Distributed Editionの利用を推奨します。
- EventLog Analyzerの相関(コリレーション)機能を多く使用する場合、1つ上のログ流量レベルを選択することを推奨します。
- 特定のWindowsデバイスが大量のログを出力している場合は、該当デバイスにエージェントをインストールしてログを収集することを推奨します。
エージェント要件(Windows)
| ログ流量:低(EPS 300) | ログ流量:中(EPS 1500) | ログ流量:高(EPS 3000) | |
|---|---|---|---|
| CPU コア数 | 4 | 6 | 12 |
| CPU アーキテクチャー | 32/64bit | 32/64bit | 32/64bit |
| RAM(メモリ) | 8GB | 12GB | 16GB |
| ディスク容量 | 20GB | 20GB | 20GB |
注意点
- オフラインログ収集を設定している場合、エージェント設定画面で指定したデータディレクトリの最大サイズよりも1GB以上多いディスク空き容量が必要です。
- エージェントをインストールしたデバイスのRAM使用率が高騰しないように、イベントログの合計サイズが20分間分のログデータに相当するようイベントビューアーで最大ログサイズを調整することを推奨します。
オペレーティングシステム要件
| OS | 64bit |
|---|---|
| Windows 11 | ◯ |
| Windows Server 2016 | ◯ |
| Windows Server 2019 | ◯ |
| Windows Server 2022 | ◯ |
| Windows Server 2025 | ◯ |
| Ubuntu 14 以降 | ◯ |
| Red Hat Enterprise Linux 7 以降 | ◯ |
| CentOS 7 以降 | ◯ |
※クライアントOSは評価目的でのみ利用可能です。本番環境にはサーバーOSをご利用ください。
データベース要件
| データベース名 | |
|---|---|
| PostgreSQL | ◯ |
| Microsoft SQL Server | ◯ |
注意点
- EventLog Analyzerには、デフォルトでPostgreSQLがバンドルされています。
- EventLog Analyzerのデータベースを外部のPostgreSQL、Microsoft SQL Serverに移行する際のPostgreSQL、Microsoft SQL Serverのサポート対象バージョンについてはお問い合わせください。
- EventLog AnalyzerのデータベースとしてMicrosoft SQL Serverを利用する場合、以下のハードウェア要件を満たす必要があります。
| RAM(メモリ) | CPU コア数 | IOPS | ディスク容量 |
|---|---|---|---|
| 8GB | 6 | 300~500 | 300~500GB |
Webブラウザー要件
| ブラウザー名 | |
|---|---|
| Google Chrome | ◯ |
| Microsoft Edge(Chromium版) | ◯ |
| Firefox | ◯ |
| Internet Explorer | × |
※各ブラウザーの最新バージョンの利用を推奨します。
ログの収集対象
EventLog Analyzerのログの収集対象は、以下のとおりです。
| Windows |
| |
|---|---|---|
| Linux/Unix |
| |
| クラウドログ |
| |
| Firewall/NGFW/IDS/IPS |
| |
| ルーター/スイッチ |
| |
| Webサーバー |
| |
| データベース |
| |
| エンドポイントセキュリティ |
| |
| 脆弱性スキャナー |
| |
| ハイパーバイザー |
| |
| その他 |
| |
※ベンダー側でサポート終了を迎えたログの収集対象は、EventLog Analyzerでのログ収集に問題が発生した際に調査できない可能性があります。