专栏名称: 君哥的体历

闲暇时间，逼迫自己，记录分享体验与经历，不求正确统一，但求真、善、美。

ESM安装配置指南-ArcSight实战系列之三

君哥的体历 · 公众号 · · 2018-03-08 21:00

正文

本篇为ArcSight实战系列之三，首发在安全牛。

上一篇介绍了ArcSight实施前的规划和技术架构设计，本篇介绍ArcSight最重要的模块ESM的安装配置。包括：

安装前准备
初始化安装
安装后验证
性能调优
初始备份
压力测试
其它参数调整

一、安装前准备

基于前期规划准备硬件及外部资源，包括RAID、带外管理、IP、NTP、SMTP、DNS、主机名、网络访问策略（参见下表）、可选的AD/LDAP信息。

查阅《 ArcSightESM Support Matrix 》确定ESM软件版所使用操作系统的类型及版本。

ArcSightESM Support Matrix 地址：https://community.softwaregrp.com/t5/ESM-and-ESM-Express/ArcSight-ESM-Support-Matrix/ta-p/1587254?attachment-id=65272

建议参考《 ESM6.11.0 Installation Guide 》、《 Buildinga custom CentOS 7 kickstart disc 》定制相应的操作系统自动化安装光盘，参考《 CIS Benchmarks 》加固操作系统，所有配置通过Kickstart及脚本自动实现。促使我们这么做的原因是可以将各系统变更内容（IP、主机名、DNS、NTP、Firewalld、软件包、软件参数配置项）固化（此光盘可以为ESM、Logger、Connector统一定制），与其编写大量的细节部署说明文档，不如花点精力编写好Kickstart和Shell，后期系统扩容和环境恢复也可大幅减少部署时间且能标准化，还可降低实施/维护工程师的交付难度。

ESM6.11.0 Installation Guide 地址： https://community.softwaregrp.com/t5/ESM-and-ESM-Express/ESM-6-11-0-Installation-Guide/ta-p/1585579?attachment-id=59635

Buildinga custom CentOS 7 kickstart disc 地址： www.smorgasbork.com/2014/07/16/building-a-custom-centos-7-kickstart-disc-part-1/

CIS Benchmarks 地址：https://www.cisecurity.org/cis-benchmarks/

二、初始化安装

1.参考《 ESM6.11.0 Installation Guide 》获取软件安装包及License文件，需要注意的主要内容如下；

2.使用非root账号（例如arcsight）执行安装，语言建议选择English，尽管ESM支持多语言，包括简体中文，但是相关的原厂测试完整性一定不如英文版，英文版可以减少一些莫名其妙小问题带来的困扰。

3.设置符合强度的后台数据库密码并记录。

4.设置存储资源池容量

System Storage用于存储ESM的各种资源配置及List和Trend的数据，最小3G，建议先按200G设置。

Event Storage用于存储ESM接收到的日志信息，最小10G，建议设置为Available – System – Online EventArchive后的80%左右。

Online Event Archive指已归档数据重新加载进ESM的容量，这个数据需要根据大约的EPD数据及可能的重新加载日志文件天数来估算，最小1G，建议按恢复5天的日志文件来估算。

5.存储资源池中各存储组的使用率可以通过ESM内置仪表板查看。

6.存储资源池中的Event Storage可以通过Command Center进行在线调整，System Storage和Online Event Archive数值目前只能通过修改配置文件且必须重启服务才能生效。

7.设置系统通知邮件的发送者及接收者邮箱信息。

8.设置运行模式，除非需要遵循FIPS的规范，否则都选择默认（default）模式。

9.设置ESM的访问主机名，最好此域名可从内部DNS服务器进行解析，此主机名将绑定SSL证书的Common Name。
设置第一个管理员的账号名及密码。

10.除非搭建了Event Broker /Investigate 的环境，否则选择No。（Event Broker/Investigate是啥？请看本系列文章的第一章）

11.选择是否安装额外的资源包：

Content Management：ArcSight可以多个ESM之间做资源的信息同步，例如在开发环境做好的Use Case可以手工/自动同步到生产环境，此资源包就是一些监控此同步过程的Use Case，除非当前环境是此部署模式，否则不用选择。

ESM HA Monitoring：ArcSight ESM可以购买HA模块实现HA高可用，除非购买了此License，否则不用选择。

EventBroker Monitoring：除非当前环境部署了Event Broker，否则不用选择。

12.安装完毕后以root执行结束界面提示的脚本 /opt/arcsight/manager/bin/setup_services.sh 以部署自动启动服务。

三、安装后验证

1.以arcsight账号用命令行启动ESM服务以验证安装是否成功。
$ /opt/arcsight/manager/bin/arcsight manager

2.等待提示出现Ready提示。

3.通过浏览器访问https:// :8443，如果可以用安装时设置的管理员账号及密码登录即可证明初始化安装正确。

4.建议后续安装6.11.0的Patch软件包，方法参考相应版本的Release Notes说明。

四、性能调优

性能调优可以参考《 ESM6.8 Performance tuning 》、《 ArcSightESM Performance Settings 》、《 ArcSightESM Performance Guide v1_3 》综合调整，此调整需要结合后续压力测试反复验证并调整。

ESM 6.8Performance tuning 地址： https://community.softwaregrp.com/t5/ArcSight-Discussions/ESM-6-8-Performance-tuning/m-p/1504489

ArcSightESM Performance Settings 地址：https://community.softwaregrp.com/t5/Share-Documentation/ArcSight-ESM-Performance-Settings-docx/ta-p/1583133

ArcSightESM Performance Guide v1_3 地址：https://community.softwaregrp.com/t5/Content-Rules-Tools/Getting-the-best-performance-from-your-ArcSight-deployment/ta-p/1585604

五、初始备份

在压力测试前建议参考《 ESMCORR-Engine Backup and Recovery 》把初始安装完毕的ESM做个全备份，由于压力测试会打入大量的测试样本数据占用存储资源，ArcSight ESM是不允许修改、删除已有的日志数据，只能循环覆盖，用此备份数据可在压测后将ESM恢复至压测前的状态，并可验证ESM的备份/恢复脚本及流程是否有效。

ESMCORR-Engine Backup and Recovery 地址：https://community.softwaregrp.com/t5/ESM-and-ESM-Express/ESM-CORR-Engine-Backup-and-Recovery/ta-p/1596134

六、压力测试

ESM Manager的日志接收能力测试采用自带的bleep模块实现，此模块通过回放模拟事件的方法持续向ESM Manager发送数据进行压力测试。

建议在多个Connector服务器上部署ESM Manager（无需安装，只需将ESM Manager安装后软件目录tar到Connector服务器上即可），每个机器模拟多个Connector同时向ESM Manager发送日志。

为减少压测对网络其它业务造成影响，建议使用单独的交换机或交叉线连接ESM Manager和各Connector服务器，通过 ESM仪表板观察ESM Manager的性能及各Bleep模块的输出信息有无缓存日志信息，逐步增加模拟Connector数量到恰好不产生缓存日志的配置后持续运行至少24小时，建议能持续到将EventStorage存储池占满为止。

通过ESM仪表板获得平均EPS、最大EPS、总事件量、数据库插入延时数值。