コミュニティの皆様
Technical Salesの及川です。
QRadarのハイパーバイザーには何をお使いですか?
QRadarを仮想マシンとして稼働させる事例は多数ありますが、そのほぼすべてがハイパーバイザーとしてVMware ESXiを使用しているであろうと思われます。
#開発/テスト環境を含めると、実績が一番多そうなのはVMware Workstation??
実は、QRadarがサポートするハイパーバイザーには、ESXiに加えて
KVMとHyper-Vもあります。
詳細は以下のURLをご参照ください。
仮想マシンの作成
https://www.ibm.com/docs/ja/qsip/7.4?topic=installations-creating-your-virtual-machine先日、QRadarをKVM上で稼働させてみましたので、本日はKVM環境でのQRadar導入の流れについてご紹介します。
ただ、ほぼすべての内容がKVM上のVM環境作成に関するものになってしまっていることはご愛敬ということで...
それだけQRadarの導入は環境を選ばず簡単だ、ということですね。
【おことわり】
本Blog記事で使用しているQEMU-KVMおよびRed Hat Enterprise Linuxのバージョンは、上記製品マニュアルで前提として示されているバージョンとは異なるものを使用しています。本Blog記事の内容は製品マニュアルの要件を上書きするものでも、マニュアルと異なる環境でも動作することをIBMとして保証するものでもありません。
環境
今回は以下の環境で導入を行いました。
- 物理ホスト環境
- Lenovo ThinkPad P50
- Windows 10
- VMware Workstation 12.5
- KVM環境
- Red Hat Enterprise Linux 7.6
- qemu-kvm-1.5.3-160
- QRadar VM環境
図示すると以下の通りです。
[ご参考]
VMware Workstationを使用する場合、VMのCPU詳細設定「Intel VT-x/EPT または AMD-V/RVI を仮想化」を有効にしてください。
KVM用RHEL VMの構成
KVMを稼働させるためのVMに、今回はハードディスクを2つ持たせることにしました。
- 1つ目はRHELを稼働させるための領域として使います。
- 2つめはQRadar VMを格納する領域として使います。
今回はそれぞれ50GB/300GBを割り当てました。
後述しますが、今回はVMインストール用のQRadar ISOファイルをRHELローカルに配置します。
その分の5GBを見込んだRHEL領域のサイズにしておきます。
Red Hat Enterprise Linuxのインストール
RHELのインストールでは「サーバー(GUI使用)」を選択しました。
VMの管理にGUIを使いたいためです。
またKVMの稼働に必要なパッケージは、RHELの導入完了後にyumで導入することとしました。
必要なパッケージのインストール
RHEL導入後にKVM稼働のために必要なパッケージをインストールします。
使用した仮想化パッケージは以下の通りです
- virt-manager-1.5.0-1.el7.noarch
- libvirt-4.5.0-10.el7.x86_64
- qemu-kvm-1.5.3-160.el7.x86_64
yumの準備が整っている場合は、以下のコマンドでインストールできます。
#yum -y install libvirt qemu-kvm virt-manager
QRadar ISOイメージのアップロード
QRadarのVMを作成するために、QRadarのISOイメージが必要です。
ISOイメージの配置先には様々なオプションがありますが、今回はRHELローカルに配置したISOを使うこととします。
適宜アップロードしておきます。
QRadar導入先ストレージの準備
VM作成時に定義した2つ目のハードディスクをRHELにマウントしておきます。
今回はXFSでフォーマットして/vmにマウントするようにしました。
以上で事前準備は完了です。
QRadar VMの導入
引き続いて、virt-managerを使用してQRadar VMを作成していきます。
virt-managerの起動
「アプリケーション」メニューから「システムツール」-「仮想マシンマネージャー」を選択します。
virt-managerコマンドでも起動できます。
仮想マシンマネージャーの画面は以下の通りです。
仮想マシンの作成
仮想マシンマネージャーの画面左上「新しい仮想マシンの作成」を選択します。
ウイザード形式で仮想マシンを作成することができます。
まず、仮想マシンのOSをどのようにインストールしするかを選択します。
今回はRHELのローカルに配置したISOファイルを使用するため、一番上の「ローカルのインストールメディア」を選択します。
次に、QRadarのインストールに使用するISOを指定します。
また仮想マシン内のOSの種類はここで明示的に指定しておきます。
なおQRadar 7.4.2はRed Hat Enterprise Linux 7.7を使用してますが、このBlog執筆時はRHEL 7.6を指定しました。
引き続いて、QRadar VMに割り当てるメモリとCPUを指定します。
QRadarには少なくとも2コアを割り当てるようにしてください。
QRadar VMを配置するストレージボリュームを指定します。
今回は/vmにマウントした/dev/sdb1を使用しますので、左側からは「vm」を選択します。
右側では「ボリューム」を追加するため、+(プラス)記号を選択します。
ストレージユニットの名前とクオータを適宜設定します。
先ほどの画面に戻りますと、追加した「rhel7.6_qradar.qcow2」が表示されています。
これを選択して「ボリュームの選択」を押下します。
先ほど追加した「rhel7.6_qradar.qcow2」がストレージデバイスとして指定されました。
QRadar VMのインストール準備ができました。名前を適宜指定して、「完了」を押下します。
仮想マシンの起動とQRadarのインストール
「完了」を押下すると、見慣れたRed Hat Enterprise Linuxのインストール初期画面が表示されます。
この後は通常通りQRadarをインストールします。
導入が完了すると、QRadar導入時に指定したIPアドレスでQRadarの画面にアクセスができるようになります。
KVMでQRadarを導入するまでの流れは以上です。
やっぱりKVMでのVM作成手順がメインとなってしまっていますね...
なお、QRadar 7.4.2以前のQRadarを新規導入した後などは、下記Technoteに記載されたAPAR回避策の適用が必要です。
お手数をおかけいたしますが、よろしくお願いします。
UPDATED: A QRadar deploy changes on 31 December 2020 can impact product functionality
https://www.ibm.com/support/pages/updated-qradar-deploy-changes-31-december-2020-can-impact-product-functionality今回のBlogは以上です。