Розподіл інфраструктури
Огляд
SIEM-кластер SOC розподілений між 5 фізичних серверів (Proxmox VE). Кожен сервер має SSH alias siem-px1..siem-px5. На кожному працюють LXC-контейнери (CT) з виділеними CPU, RAM та SSD. Всі сервери та контейнери знаходяться у VLAN250 (10.250.0.0/24).
Розподіл по нодах
siem-px1 (10.250.0.2) — Wazuh Indexer Primary
Залізо: Intel Xeon Silver 4208, 32 ядра, 62 GB RAM, ~426 GB SSD (rpool)
| CT ID | Сервіс | CPU | RAM | SSD | IP | Роль |
|---|---|---|---|---|---|---|
| 701 | wazuh-indexer | 8c | 24 GB | 250 GB | 10.250.0.10 | OpenSearch primary нода |
| — | Резерв | 24c | 38 GB | ~176 GB | — | — |
siem-px2 (10.250.0.3) — Manager + Case Management
Залізо: Intel Xeon Silver 4210R, 20 ядер, 62 GB RAM, ~412 GB SSD (rpool)
| CT ID | Сервіс | CPU | RAM | SSD | IP | Роль |
|---|---|---|---|---|---|---|
| 702 | wazuh-manager | 6c | 8 GB | 50 GB | 10.250.0.11 | Збір логів, правила, кореляція, integrations |
| 710 | thehive | 2c | 8 GB | 30 GB | 10.250.0.30 | Case management (TheHive 4.1.24) |
| 711 | cortex | 2c | 4 GB | 20 GB | 10.250.0.31 | Автоматичний аналіз IoC (Cortex 4.0.1) |
| — | Резерв | 10c | 42 GB | ~312 GB | — | — |
siem-px3 (10.250.0.4) — Dashboard + Indexer Replica 1
Залізо: Intel Xeon E-2334, 8 ядер, 62 GB RAM, ~424 GB SSD (rpool)
| CT ID | Сервіс | CPU | RAM | SSD | IP | Роль |
|---|---|---|---|---|---|---|
| 703 | wazuh-dashboard | 1c | 2 GB | 10 GB | 10.250.0.12 | Веб-інтерфейс Wazuh (stateless) |
| 704 | wazuh-indexer-r1 | 4c | 24 GB | 250 GB | 10.250.0.13 | OpenSearch replica 1 |
| — | Резерв | 3c | 36 GB | ~164 GB | — | — |
siem-px4 (10.250.0.5) — Threat Intel + SOAR
Залізо: Intel Xeon E-2334, 8 ядер, 62 GB RAM, ~417 GB SSD (rpool)
| CT ID | Сервіс | CPU | RAM | SSD | IP | Роль |
|---|---|---|---|---|---|---|
| 706 | misp | 2c | 4 GB | 50 GB | 10.250.0.15 | Threat Intelligence (MISP 2.5.36) |
| 707 | crowdsec | 1c | 1 GB | 10 GB | 10.250.0.16 | CrowdSec LAPI + blocklist-mirror |
| 712 | shuffle | 1c | 4 GB | 20 GB | 10.250.0.32 | SOAR (Shuffle, наразі idle) |
| — | Резерв | 4c | 53 GB | ~337 GB | — | — |
siem-px5 (10.250.0.6) — Indexer Replica 2 + Forensics
Залізо: Intel Xeon E-2334, 8 ядер, 62 GB RAM, ~425 GB SSD (rpool)
| CT ID | Сервіс | CPU | RAM | SSD | IP | Роль |
|---|---|---|---|---|---|---|
| 705 | wazuh-indexer-r2 | 4c | 24 GB | 250 GB | 10.250.0.14 | OpenSearch replica 2 |
| 713 | velociraptor | 2c | 4 GB | 50 GB | 10.250.0.33 | DFIR (Velociraptor 0.76.2) |
| — | Резерв | 2c | 34 GB | ~125 GB | — | — |
Зведення ресурсів
| Ресурс | Виділено CT | Загальне (5 нод) | Резерв | % запасу |
|---|---|---|---|---|
| Ядра CPU | 33c | 76c | 43c | 57% |
| RAM | 107 GB | 310 GB | 203 GB | 65% |
| SSD (CT rootfs) | 960 GB | ~2.1 TB | ~1.1 TB | 54% |
| Контейнерів | 11 | — | — | — |
Wazuh Indexer — кластер з 3 нод (OpenSearch)
| Нода | CT ID | Хост | Роль | SSD | RAM |
|---|---|---|---|---|---|
| wazuh-indexer (primary) | 701 | siem-px1 | Master + Data | 250 GB | 24 GB |
| wazuh-indexer-r1 (replica) | 704 | siem-px3 | Data | 250 GB | 24 GB |
| wazuh-indexer-r2 (replica) | 705 | siem-px5 | Data | 250 GB | 24 GB |
Загальний обсяг кластера: 750 GB SSD (~375 GB корисних з 1 реплікою).
3-нодний кластер забезпечує:
- Відмовостійкість — будь-яка одна нода може вийти з ладу без втрати даних
- Масштабування читання — запити можуть обслуговуватися з будь-якої репліки
- Захист від split-brain — 3 ноди = коректний кворум
Розклад дисків (всі ноди)
Всі 5 нод використовують ZFS:
| Пул | Диски | Призначення |
|---|---|---|
rpool |
SSD (stripe або mirror залежно від ноди) | Коренева ФС, rootfs контейнерів, Docker volumes |
HDD datapool (warm tier для ротації логів) — наразі не створений. Планується при TASK-092f (retention policy).
Додаткова інфраструктура
| Сервіс | IP | Призначення |
|---|---|---|
| siem-qnap (QNAP NAS4CD21A) | 10.250.0.7 | Бекапи SOC: NFS mount /mnt/qnap-soc на всіх 5 нодах. 2×2TB HDD RAID0, 3.1 TB. |
NFS mount persistent через fstab (_netdev). Proxmox storage qnap-soc-backups видний на всіх нодах для vzdump.
Останнє оновлення: 2026-04-16.