Для ISE, если правильно помню на всю компанию (порядка 250 тысяч только пользовательских устройств) всего 18 вроде серверов. Из них четыре это ноды управления и ноды мониторинга с резервированием, остальное - Policy Server Nodes, по сути RADIUS-сервера + профилирование и т.д.

Знаю, что со Splunk мы в разы уменьшили количество времени на поиск относительно Arcsight, и это на круг было дешевле по железам и лицензиям на тот момент. Но мы его используем не только как SIEM (точнее, SIEM далеко не первостепенная задача). Насколько я помню, там точно меньше или в районе стойки серверов на всю компанию.

Решил я значит погуглить, как Cisco со Splunk живет. И вижу референсную конфигурацию
https://www.cisco.com/c/en/us/products/collateral/servers-unified-computing/solution-overview-c22-739259.html
Смотрю на табличку, в поля Sample retention5 (IT operations analytics [ITOA]) per indexer и Sample retention5 (enterprise security) per indexer
Складываю и перегоняю в EPS для простого случая – syslog (400 байт на событие).
Что же получается? На 101187,6 EPS предлагается купить: 4 Индексера, 1 Хэд и 2 Хэви форвардера, 1 деплой-сервер
Каждый сервак по 2 CPU(36 core) и 192 ГБ оперативы.

Теперь вопрос? Вы там на 8 производительных серваках биткойны майнить будете?

Вот после этого вопросы про железо МП СИЕМ - вообще лесом

Вадик не совсем прав - если я правильно понял, что они сделали, такой вариант возможен. Вадик исходит из предположения, что делается сквозной обход, а они запилили что-нибудь типа ассоциативного кэша

Коля, про EPS ответишь, что внутри, или так и будешь уходить от ответа? Я тоже могу посчитать, чтобы было грустно ;)

Не знаю что заложено в вашей типовой конфигурации под Спланк, но я рассматриваю такое рапределение событий в потоке (40% серваки nix, 20% серваки win, 30% рабочие станции, 10% СЗИ) - распределение среднее по больнице из тех, проектов что я видел

Сколько средний размер сообщения и формат?

естественно разный. от 4 КБ до 300 байт

В твоём примере всё в диски как бы упирается, а не вовсе в CPU/шину. Потому и такое количество индексеров. Давай уже завтра, я спать хочу?

Загляни, там СХД целая рядом стоит, я ее специально не вписал )))

Ну так потому что люди решают другую задачу: Sample retention5 (enterprise security) per indexer 800 GB per day for 15 months, а не выжать максимум из одного.

Ну завтра, так завтра... я теперь спать не могу... 7 серваков мерещатся

Отличная подпись под прайсом любого СИЕМ

Любой каприз заказчика за его счёт (с)

100к на 7 серваках как-то мало

Я лишь одно хочу донести... это не в России продукт не могут сделать, чтоб на 1 сервер влез, это общее практика расчета железа под СИЕМы ибо это реальный мир со своими ограничениями

Упс,  не заметил, там 8 серваков, а не 7 . Deploy зачем-то на 36 ядерном серваке со 192 гигами.

Вспомнил макафи и их заявленные то ли 200 то ли 300к епсов на одном аплаенсе.
Правда, как минимум при условии такой агрегации, когда от полного события остаются рожки да ножки.

Скажите, у вас какая специальность написана в дипломе?