QRadar DataNode追加

DataNodeとは

• ストレージ容量および検索処理能力を追加するために、既存のProcessorに構築することが可能となるQRadarアプライアンスです。
• Processorに追加することができるデータ・ノード数に制限はありません。
• データ・ノードは、必要に応じてオンデマンドで追加することができます。

データ・バランシング – QRadar処理能力を最大限に活用

• ログ・データは、Processorから自動的に分散され、(Processor自身を含む) 全てのデータノードに配信されます。
• 新しいデータノードが追加されると、自動的に初期分散され、以後はバランスしながら分散します。
  データ・ノードを追加することにより、パフォーマンスとストレージ向上の恩恵を受け、既存構成の拡張を可能にします。

DataNodeインストール(ESXI）

※インストールには2時間ほどかかります

1. IBM FIX Central からIOSファイルをダウンロードします。
2. ダウンロードしたIOSファイルをブートします。
3. Appliance Installで"Appliance Install(Purchased as an appliance)"を選びNextを押します
   
4. "DataNode1400" を選びNextを押します。
   
5. "normal"を選びNextを押します。
   
6. Select Continent/Areaで"Asia"を選びNextを押します。
   
7. TimeZoneで"Tokyo"を選びNextを押します。
   
8. Internet Protocol Setupでipv4になっていることを確認しNextを押します。
   また、NIC冗長する場合には、Choose Internet Configuration modeを"Yes"に変更します。
   
9. Bondinng Interface Setupにて束ねるNICを選びます。
   Bonding Optionは、mode=1だとActive backupでmode=4だとSwitchと連動させてLACPのリンクアグリゲーションを作ることも可能です。その他のモードは以下の通り。
   

1. Hostnameを入力します。FQDNでないとエラーになります。IPアドレス、NetMaskとDNSを入力します。Nextを押します。
   

2. Root password を入力してNextを押します。
   

3. 以下の画面が出たらOKを押します。
   

DataNodeの接続

1. QRadarのAdminメニューからAdd Managed Hostを押します。
   

2. 画面が遷移します。ここでサービス再起動が発生します。
   QRadarとDataNodeがHttpsやSSH接続でつながり、Databaseシンクやモジュールインストール等が裏で行われます。
   

3. 接続するイベント・プロセッサを選択して保存します。
   

4. DataNodeが増えたこと確認します。
   

5. ライセンス部分を確認します。
   

6. デプロイを行います。
   
   1.　続行を押します。ここでサービス再起動が発生します。
   

7. データのリバランシングが起こり、DataNodeのディスクが使用開始されます。
   

その他

QRadar DataNodeにはガチガチのFirewallルール(iptables)が定義されています。QRadarコンソール＜＞DataNodeしかアクセスができません。
セキュリティリスクを考慮して以下のようにルールを追加します。

(DataNode)#iptables -I INPUT 1 -p tcp -m tcp --dport 22 -j ACCEPT
※こちらは一時的な措置でOS再起動すると消えます。