Сам инсталятор нет, но если клиент выбрал что хочет ставить низконагруженный вариант, то дополнительных вопросов уже не будет. Ниже опишу почему

да, запамятовал

Поясню как работают наши гайды. У нас есть три типа конфигурации: низконагруженная - все на одном сервере
Средненагруженная - Event Storage + SIEM Server отдельно
Высоконагруженная: все три компонента отдельно.
*Где стоят агенты по большому счету не важно.

Так вот, у нас нет сценариев для отступления от минимальных аппаратных требований. Т. Е. Если вы сказали я ставлю низконагруженную, это значит что инсталятор будет думать что все компоненты поставят на один сервер

Это все понятно. Тут коса на камнь нашла. Заказчик - я, захотел все сам потрогать без подготовки, о чем я писал ранее ))

ну вы не первый и не последний

Т. Е. Вывод, если Вы решили что сервера будет два, то у вас уже Средненагруженная система, независимо от ваших аппаратных характеристик и планируемого потока

А оперативы сколько выделили на каждый сервер? На какой поток рассчитываете?

128

поток не знаю - вот и посмотрим

это первый опыт с сиемами

возьмите лучше 21, а не 21.1

Я бы в средненагруженном варианте выделил поменьше на Core (64) и побольше на SIEM+ES (192).
Но это не официальная позиция

Не согласен. Пока лучше 21. Скоро перевыпустим 21.1 и вот ее уже можно будет рекомендовать (я надеюсь).
Человек только знакомится с системой, а мы в 21.1 переименовали кучу служб. При обращении в саппорт многие рекомендации могут быть неточными, тк 21.1 пока у выборочного количества людей и мы ещё не все рекомендации адаптировали под новую версию.
В 21 больше набитых шишок - хорошо для новичка. 21.1 это уже уровень профи.

у меня соре 64, сием 128, стораджу 192 поставил - меньше ругался

А, так у вас три сервера, тогда я Вас не понял

4

так я это и написал, с чем ты несогласен, Саш?)

НА 4  ucs и cp

Блин, глаз повело) сорри

Ну так-то хорошо) highload на event storage не включали?