IBM Security从24年开始不再提供QRadar SIEM Community Edition社区免费版的OVA虚拟机一键导入文件，只有ISO镜像，因此在VMware虚拟机部署QRadar服务端变得麻烦了点。本人安装的时候遇到了一些问题，重装了几次。这篇博客整理下IBM官方论坛以及Reddit上的一些零散信息，详细记录一个安装好QRadar的完整流程。

前置条件

• 内存32GB以上的宿主机，且最少300GB空闲磁盘
• VMware Workstation Pro 17

安装QRadar的虚拟机最低要求为24GB内存，250GB硬盘及4核心。如果内存低于24GB，也可能安装成功，但是使用时可能连加载主控台登录前端都费劲。

设置虚拟机

在QRadar官网下载最新版QRadar CE的ISO镜像之后，在VMware Workstation Pro 17里新建一个虚拟机。操作系统先不直接选择ISO镜像，而是选择RHEL8或RHEL9，在开机时再挂载ISO光碟。

设置硬盘大小这里我们可以先随便填入一个数值，之后需要再改。再最后一步确认页面，点击Customize Hardware升级内存，核心和网卡。

我们按照官方安装指南的最低硬件要求把内存调到24GB，分配12个核心，并把虚拟机的网卡设置为桥接模式，即虚拟机使用宿主机的网卡，直接获得路由器分配的IP地址，与普通物理主机一样。在New CD/DVD选项下，挂载QRadar CE的ISO镜像。

点击Finish保存配置，建立虚拟机文件。这个时候先不要启动，我们右键虚拟机名称再次打开设置菜单，选中Hard Disk，点击Remove把最开始建立的硬盘删除掉。然后点击Add新建一个硬盘，硬盘类型选择SATA，最少分配250GB容量，Allocate all disk space now选项打勾。这是因为VMware默认按照虚拟机硬盘内实际存储数据的大小自动分配宿主机硬盘空间，但是QRadar在安装时会自检可用硬盘空间，需要保证系统在一开始就能识别出来，否则启动会报错。

新硬盘挂载后，看到硬盘为SATA且容量旁边显示Preallocated标识即可。之所以要先建立虚拟机再删除重建硬盘，是因为VMware首次设置虚拟机时无法指定预先分配空间。

因为虚拟机设置了桥接模式，回到VMware主页Edit=>Virtual Network Editor=>Change Settings=>确认管理员权限，把VMnet0的桥接网络设置为宿主机正在使用的网卡（例如我的是通过Intel无线网卡连的WIFI），应用保存。

QRadar安装

虚拟机开机，默认进入Factory install，按空格把软件协议拉到底，输入yes确认。

服务器硬件就是RHEL虚拟机，因此选择第二个仅软件安装。功能选择AIO Console，即管理控制台，流程/事件收集器，处理器全部安装在同一台服务器上面。

按照提示设置当前时间，时区和网卡。

根据家里路由器的设置，给QRadar服务端设置IP，子网掩码，DNS和网关。主机名可随意填写一个全限定域名（FQDN）。

设置Root Password和Admin Password（登录控制台用），随后QRadar就开始安装，过程根据电脑性能，在30分钟左右。

安装完成会看到蓝色屏幕提示，这是就可以使用admin用户名和刚刚设置的密码登录QRadar控制台了！如果VMware屏显卡住不确定有没有安好，不要直接重启，可以尝试用SSH登录虚拟机，如果欢迎界面显示has QRadar installed on…即为安装成功，反之则会显示installing, do not shutdown or reboot

如果在浏览器内使用IP访问主控台显示下图里的连接拒绝，可以在地址栏试试打开https://<IP>/console，也许就可以顺利访问了。