1. LOG YÖNETİMİNDE CİHAZ SAYILARI & EPS DEĞERLERİ ARASINDAKİ
İLİŞKİ
Dr. Ertuğrul AKBAŞ
eakbas@gmail.com
Log Yönetimi projelerinin demo aşamalarında can alıcı derecede önem arz eden EPS değerlerinin
hesaplanması ve kurulacak olan sistemin bu değerleri karşılayıp karşılayamadığının kontrolünün
atlandığı ve bu tür bir gözden kaçırmanın acısının aylar sonra hissedildiği durumların ortaya
çıkmaması için dikkat edilmesi gereken hususları listelemek istedik.
EPS DEĞERİ NEDİR?
Bazı sistemler kullanıcı ve bilgisayar sayısına göre kurgulama ve fiyatlandırma yapmaktadır. Bu doğru
bir yaklaşım olmadığı gibi sektörce bilinen yazılımlar EPS değeri kullanmaktadır.
Normal EPS değerleri (Normal Events per second (NE))standart aktivite zamanlarındaki log sayısıdır.
Ama daha önemli olanı ise Tepe EPS (Peak Events per second (PE)) değeridir. Çünkü kurulacak
sistemin dayanma noktası bu EPS değerlerine ulaşıldığı zaman ortaya çıkar. Bu durum ise anormal bir
durum (saldırı, virüs vs..) durumlarında ortaya çıkar.
SİSTEMİNİZİN KAÇ EPS LOG ÜRETECEĞİNİ YAKLAŞIK NASIL
BİLEBİLİRSİNİZ?
Ölçeklemek amaçlı bir rakam vermek gerekirse 100-150 bilgisayar olan 1-3 server olan 10 mbit bir
WAN hatta sahip bir network için 500-1000 EPS arası bir değeri ölçeklemek için kullanabiliriz.
Aşağıda birkaç hazır EPS hesaplama tablosu mevcuttur
4. 500 Cihazlık bir ağ için
Ortalama EPS : 200
PeakEPS : 12500
Ortalama Peak EPS: 7500
1000 Cihazlık bir ağ için
Ortalama EPS : 400
PeakEPS : 25000
Ortalama Peak EPS: 15000
Önemli olan sistemin Peak EPS değerlerini karşılayabilmesidir. Ortalama EPS ve Ortalama Peak EPS
sadece storage ihtiyacı için hesaplamada kullanılacak parametrelerdir.
EPS DEĞERLERİ İLE DONANIM ÖZELLİKLERİ ARASINDAKİ İLİŞKİ
Bu konuda sadece log toplayan çözümler ile korelasyon yapan çözümlerin ihtiyaçları doğal olarak
birbirinden farklıdır. Yine Archsightdan örnek verirsek:
6. Eğer korelasyon yaparsa
Aynı şekilde IBM Qradar a bakarsak
8 GB of freememory is requiredbytheVMwarehostforQRadar SIEM 3190. 12 GB is optimal.
7. QRadar SIEM 3190 - TheQRadar SIEM 3190 virtualappliance is a QRadar
SIEM systemthat can profile network behaviorandidentify network security
threats. TheQRadar SIEM 3190 virtualapplianceincludes an on-board Event
Collectorandinternalstorageforevents. TheQRadar SIEM 3190 virtual
appliancesupports:
- Upto 1,000 network objects
- 50,000 flowsperinterval, depending on yourlicense
- 1,000 Events Per Second (EPS), depending on yourlicense
- 750 eventfeeds (additionaldevices can be addedtoyourlicensing)
- ExternalflowdatasourcesforNetFlow, sFlow, J-Flow, Packeteer, and
Flowlogfiles
- QRadarQFlowCollectorandLayer 7 network activitymonitoring
http://public.dhe.ibm.com/software/security/products/qradar/documents/71MR2/QRadar/EN/QRa
dar_71MR2_InstallationGuide.pdf
SONUÇ
Kurulacak olan sistemin log kaçırmaması ve diğer performans değerlerinde problem yaşanmaması
için PE değer baz alınmalıdır. Ayrıca sistemin ne kadar log üretmesi gerektiği ve log yönetimi
çözümünündebu miktarda logun birikip birikmediğinin gözlenmesi gerekir.