前提条件

先决条件

我需要什么样的 IT 技能来安装 LME？ LME 项目可以由系统管理员或爱好者级别的人安装。如果您曾经…

• 安装过Windows服务器并将其连接到Active Directory域
• 最好部署过组策略对象（GPO）
• 更改过防火墙规则
• 安装过Linux操作系统，并通过SSH登录

…那么您很可能具备安装LME所需的技能！

我们估计您可能需要几天的时间来完成整个安装过程，尽管您可以根据自己的时间安排拆分这个过程。虽然我们已经在可能的地方自动化了步骤并尽可能详细地提供了说明，但安装将需要比仅使用安装向导更多的步骤。

LME系统的高级概览图：

图1：高级概览，链接到文档章节

LME 的成本是多少？

由美国政府开发的此软件包的部分内容根据创作共用0（”CC0”）许可证进行分发。在CISA的要求下由政府承包商创建的部分内容，根据本声明和现有的许可证结构，明确授予使用、修改和重新分发代码的权利。所有其他部分，包括所有其他人的新提交，都受到Apache许可证第2.0版的约束。该项目（脚本、文档等）根据Apache许可证2.0和创作共用0进行许可。

该设计使用了免费和开源软件，我们将承诺确保除标准基础设施成本之外不需要支付任何付费软件许可证费用（除了Windows操作系统许可证的例外）。

您需要支付主机托管、带宽和时间的费用；有关可能需要的服务器规格的估算，请参阅elasticsearch的这篇博客文章。然后使用您估计的服务器规格来确定本地部署或云部署的价格。

浏览本文档

每个章节的顶部都有一个章节概览，简要介绍以下部分的工作。

粗体文本表示您必须做出决定或采取需要特别注意的行动。

斜体文本表示一种简单的操作方式，如运行脚本。请确保您能够轻松完成此操作。还提供了一种更长、手动的方式。

方框中的文本是您需要输入的命令。

您应该按顺序完成每个章节，并在继续之前完成结尾处的检查表。

扩展解决方案

为了使LME简单，我们的指南只涵盖单服务器设置。很难估计单服务器设置将承担多少负载。可以将解决方案扩展到多个事件收集器和ELK节点，但这将需要更多涉及的技术经验。

所需基础设施

要开始安装Logging Made Easy，您将需要访问（或创建）以下服务器：

• 用于管理Windows Active Directory的域控制器。这是为了部署组策略对象（GPO）。
• 具有2个处理器核心和至少8GB RAM的服务器。我们将在此计算机上安装Windows事件收集器服务，将其设置为Windows事件收集器（WEC）并加入域。
• 如果预算允许，我们建议专门为Windows事件收集设置一个专用服务器。如果不可能，可以在现有服务器上设置WEC，但请考虑性能影响。
• WEC服务器可以是Windows Server 2016（或更高版本）或Windows 8.1客户端（或更高版本）。
• 基于Debian的Linux服务器。我们将在此计算机上通过Docker容器安装我们的数据库（Elasticsearch）和仪表板软件。

最低硬件要求：

• CPU：2个处理器核心，
• 内存：16GB RAM（Elastic建议32GB以上），
• 存储：用于ELK的专用128GB存储（不包括操作系统和其他文件的存储）。
• 这仅估计支持每天约17个客户端的日志流数据，并且Elasticsearch将自动清除旧日志以为新日志腾出空间。我们强烈建议为任何其他规模的企业网络提供超过128GB的存储。

  注意：

  • 请不要从Ubuntu Server安装程序的“特色Snap”部分安装Docker，我们稍后将安装Docker社区版。
  • 部署脚本仅在Ubuntu 18.04长期支持（LTS）和22.04 LTS上进行了测试。

服务器安装位置

服务器可以是本地、公共云或私有云。这是您的选择，但您需要考虑如何在客户端和服务器之间进行网络连接。

需要什么样的防火墙规则

图1：网络规则概述