Security Onion安全洋葱2.3--安装（PVE环境）

一、配置要求（生产推荐配置）

硬件名称	配置需求	说明
CPU	16核	支撑1Gbps的流量链路；
内存	128G	支撑1Gbps的流量链路；
硬盘	8T以上	官方建议做raid10；
网口	2个	一个管理口，静态ip； 一个嗅探口，连接交换机；

测试环境：4核、8G内存、200G硬盘

CPU：仅支持x86-64架构（标准Intel或AMD 64位处理器）；用于解析传入事件、索引传入事件、搜索元数据、捕获PCAP、分析数据包和运行前端组件。随着数据和事件消耗的增加，将需要更大的CPU容量。Suricata和Zeek是非常CPU密集型的。监控的流量越多，所需的CPU内核就越多。估计一个核心处理Suricata或Zeek的200 Mbps流量。因此，如果有一个完全饱和的1Gbps链路，并且运行Suricata用于NIDS警报，运行Zeek用于元数据，那么需要至少5个Suricata工作线程和5个Zeek工作线程。这意味着您将需要至少10个CPU核心用于Suricata和Zeek，以及额外的CPU核心用于其他服务。

内存：用于Logstash、Elasticsearch、Lucene、Suricata、Zeek等的磁盘缓存。可用RAM的数量将直接影响搜索速度和可靠性，以及处理和捕获流量的能力。

• 100 Mbps或更低：16 GB RAM或更高
• 100 Mbps-1000 Mbps：16 GB-128 GB RAM或更大内存
• 1000 Mbps-10 Gbps：128 GB-256 GB RAM或更大内存。

硬盘：用于存储索引元数据。存储量越大，保留期越长。通常建议保留不超过30天的热ES指数。启用了完全数据包捕获的传感器需要大量存储空间。例如，假设您正在监控平均速率为50 Mbps的链路，下面是一些快速计算：50 Mb/秒= 6.25 MB/秒= 375 MB/分钟= 22，500 MB/小时= 540，000 MB/天。因此，您将需要大约540 GB的一天的pcap价值（乘以天数的pcap你想保持）。磁盘空间越大，用于事后调查的PCAP保留就越多。

建议使用专用的物理硬件（特别是在监控大量流量的情况下），以避免资源竞争。传感器可以虚拟化，但必须确保为它们分配足够的资源。

推荐最低配置：

• 12GB RAM
• 4 CPU cores
• 200GB storage

存储：只支持本地存储，不推荐使用SAN/iSCSI/FibreChannel/NFS等远程存储，其增加了复杂性和故障点，并对性能造成严重影响。

网络：至少需要一个专用于管理的有线网络接口（最好连接到专用管理网络）。建议尽可能使用静态IP地址。如果需要从分路或跨接端口嗅探网络流量，则需要一个或多个专用于嗅探的接口（无IP地址）。安装程序将自动禁用NIC卸载功能，如嗅探接口上的tso、gso和gro，以确保Suricata和Zeek获得准确的流量情况。官方建议嗅探口连接交换机（For a prod