icerige gec

LOG YÖNETİMİ & SIEM PROJELERİNDE EPS DEĞERLERİNİN KRİTİKLİĞİ VE HESAPLANMA YÖNTEMLERİ

Kasım 22, 2013 yazan ertugrul.akbas

      LOG YÖNETİMİ & SIEM PROJELERİNDE EPS DEĞERLERİNİN KRİTİKLİĞİ VE HESAPLANMA YÖNTEMLERİ

Dr. Ertuğrul AKBAŞ

[email protected]

Log Yönetimi projelerinin demo aşamalarında can alıcı derecede önem arz eden EPS değerlerinin hesaplanması ve kurulacak olan sistemin bu değerleri karşılayıp karşılayamadığının kontrolünün atlandığı ve bu tür bir gözden kaçırmanın acısının aylar sonra hissedildiği durumların ortaya çıkmaması için dikkat edilmesi gereken hususları listelemek istedik.

EPS DEĞERİ NEDİR?

 

Bazı sistemler kullanıcı ve bilgisayar sayısına göre kurgulama ve fiyatlandırma yapmaktadır. Bu doğru bir yaklaşım olmadığı gibi sektörce bilinen yazılımlar EPS değeri kullanmaktadır.

 

Normal EPS değerleri (Normal Events per second (NE))standart aktivite zamanlarındaki log sayısıdır. Ama daha önemli olanı ise Tepe EPS (Peak Events per second (PE)) değeridir. Çünkü kurulacak sistemin dayanma noktası bu EPS değerlerine ulaşıldığı zaman ortaya çıkar. Bu durum ise anormal bir durum (saldırı, virüs vs..) durumlarında ortaya çıkar.

SİSTEMİNİZİN KAÇ EPS LOG ÜRETECEĞİNİ YAKLAŞIK NASIL BİLEBİLİRSİNİZ?

 

Ölçeklemek amaçlı bir rakam vermek gerekirse 100-150 bilgisayar olan 1-3 server olan 10 mbit bir WAN hatta sahip bir network için 500-1000 EPS arası bir değeri ölçeklemek için kullanabiliriz.

Aşağıda birkaç hazır EPS hesaplama tablosu mevcuttur

 

 

http://www.sans.org/reading-room/analysts-program/eventMgt-Feb09

 

http://www.netcerebral.com/guessing-game-planning-sizing-siem-based-on-eps/

http://www.netcerebral.com/log-management-planning-calculator/#more-125

 

Yukarıdaki verilen örnekleri kullanarak bir ölçekleme yaparsak:

100 Cihazlık bir ağ için

Ortalama EPS : 40

Peak EPS : 2500

Ortalama Peak EPS: 1500

 

250 Cihazlık bir ağ için

Ortalama EPS : 100

Peak EPS : 6000

Ortalama Peak EPS: 4000

 

500 Cihazlık bir ağ için

Ortalama EPS : 200

Peak EPS : 12500

Ortalama Peak EPS: 7500

 

 

1000 Cihazlık bir ağ için

Ortalama EPS : 400

Peak EPS : 25000

Ortalama Peak EPS: 15000

 

Önemli olan sistemin Peak EPS değerlerini karşılayabilmesidir. Ortalama EPS ve Ortalama Peak EPS sadece storage ihtiyacı için hesaplamada kullanılacak parametrelerdir.

 

SONUÇ

Kurulacak olan sistemin log kaçırmaması ve diğer performans değerlerinde problem yaşanmaması için PE değer baz alınmalıdır.