Creazione di uno stack

Creare uno stack per gestire volumi di dati più elevati e migliorare le prestazioni del flusso ai livelli di ispezione più elevati. È possibile impilare solo le apparecchiature QRadar Network Insights 1920 (tipo 6200) e QRadar Network Insights 1940 (tipo 6600 e 6610).

Prima di iniziare

Assicurarsi che tutte le applicazioni che si desidera includere nello stack siano racked e cablate.

Verificare che il dispositivo e il QRadar Console utilizzati per gestirlo siano allo stesso livello di fix pack e versione QRadar .

Informazioni su questa attività

Per impostazione predefinita, il Livello di ispezione flusso per ogni dispositivo viene ereditato dalle impostazioni globali definite nelle Impostazioni del sistema. È possibile sovrascrivere l'impostazione globale configurando il livello di ispezione del flusso per ogni dispositivo. In una configurazione in pila, ogni stack può avere un livello di ispezione diverso, ma tutte i dispositivi all'interno di uno stack devono avere lo stesso livello di ispezione.

Anche la Dimensione massima del payload non elaborato viene ereditata dalle impostazioni di sistema globali, ma è possibile modificarla per le singole applicazioni. La dimensione predefinita del payload è 64 byte e la dimensione massima è 32 768 byte. I grandi payload possono influire sulle prestazioni. Regolare la dimensione dei byte in piccoli incrementi e monitorare la capacità del disco per assicurarsi che non si riempia rapidamente.

Procedura

  1. Se necessario, aggiungere la periferica QRadar Network Insights alla distribuzione come host gestito.
    1. Sul menu di navigazione ( Icona menu di navigazione ), fare clic su Admin.
    2. Nella sezione Configurazione del sistema , fare clic su Gestione sistema e licenza.
    3. Nell'elenco Visualizzazione , selezionare Sistemi
    4. Nel menu Azioni di distribuzione , fare clic su Aggiungi host.
    5. Configurare le impostazioni per l'host gestito fornendo l'indirizzo IP fisso e la password root per l'applicazione.
    6. Fare clic su Aggiungi.
      L'host gestito viene aggiunto e la nuova configurazione è pronta per la distribuzione.
    7. Nella pagina Admin , fare clic su Avanzate > Distribuisci configurazione completa.

      QRadar continua a raccogliere gli eventi quando si distribuisce la configurazione completa.

  2. Per configurarlo come parte di uno stack QRadar Network Insights , modificare le informazioni di connessione host.
    1. Nella scheda Amministrazione , fare clic su Gestione sistema e licenza.
    2. Nell'elenco Visualizzazione , selezionare Sistemi
    3. Selezionare l'host gestito QRadar Network Insights e, nel menu Azioni di distribuzione , fare clic su Modifica connessione host.
    4. Nella pagina Modifica connessione QRadar Network Insights , selezionare QRadar Flow Collector e l'origine NetFlow .

      Per impostazione predefinita, il programma di raccolta flussi è l'indirizzo IP di QRadar Console.

    5. Fare clic su Salva.

      La console riconosce che l'host gestito è un'applicazione impilabile.

    6. Nel campo Azione host , selezionare Crea nuovo stack e immettere un nome descrittivo.
    7. Facoltativo: modificare il Livello di ispezione del flusso e la Dimensione massima payload non elaborato.
    8. Selezionare Avanti.

      La finestra Configura porte QNI mostra che le porte sono ora riconfigurate per funzionare in una configurazione in pila.

    9. Fare clic su Salva.

      La finestra Gestione sistema e licenza mostra ora il nuovo stack QRadar Network Insights con un dispositivo QRadar Network Insights .

Operazioni da eseguire successivamente

È necessario distribuire le modifiche per rendere effettive le nuove configurazioni.