Splunk erregistro eta analisi sistemaren Errusian salmenten amaierarekin lotuta, galdera sortu zen: zerekin ordezkatu daiteke irtenbide hau? Konponbide ezberdinekin ezagutzen denbora eman ondoren, benetako gizon batentzako irtenbide bat erabaki nuen - "ELK pila". Sistema honek denbora behar du konfiguratzeko, baina, ondorioz, sistema oso indartsua lor dezakezu egoera aztertzeko eta erakundeko informazioaren segurtasuneko gorabeherak berehala erantzuteko. Artikulu sorta honetan, ELK pilaren oinarrizko gaitasunak (edo agian ez) aztertuko ditugu, erregistroak nola analiza ditzakezun, grafikoak eta aginte-panelak nola eraiki eta zer funtzio interesgarri egin daitezkeen erregistroen adibidea erabiliz aztertuko dugu. Check Point suebakia edo OpenVas segurtasun eskanerra. Hasteko, ikus dezagun zer den - ELK pila eta zer osagaiz osatuta dagoen.
"ELK pila" Kode irekiko hiru proiekturen akronimoa da: Elasticsearch, Logstash ΠΈ Kibana. Elastic-ek garatutako proiektu guztiekin batera. Elasticsearch sistema osoaren muina da, datu-base baten funtzioak, bilaketa eta sistema analitikoa konbinatzen dituena. Logstash zerbitzariaren inguruko datuak prozesatzeko kanalizazio bat da, aldi berean hainbat iturritatik datuak jasotzen dituena, erregistroa analizatzen duena eta Elasticsearch datu-base batera bidaltzen dituena. Kibana-k erabiltzaileei datuak bistaratzeko aukera ematen die taulak eta grafikoak erabiliz Elasticsearch-en. Kibanaren bidez ere kudeatu dezakezu datu-basea. Ondoren, sistema bakoitza bereizita aztertuko dugu xehetasun gehiagorekin.
Logstash
Logstash hainbat iturritako erregistro-gertaerak prozesatzeko utilitate bat da, eta horrekin mezu batean eremuak eta haien balioak hauta ditzakezu, eta datuen iragazketa eta edizioa ere konfiguratu dezakezu. Manipulazio guztien ondoren, Logstash-ek gertaerak azken datu biltegira birbideratzen ditu. Utilitatea konfigurazio fitxategien bidez soilik konfiguratzen da.
Logstash-eko konfigurazio tipikoa sarrerako hainbat informazio korrontez (sarrera), informazio horretarako hainbat iragazkiz (iragazkia) eta irteerako hainbat korrontez (irteera) osatutako fitxategi bat da. Konfigurazio-fitxategi baten edo gehiagoren itxura du, bertsiorik errazenean (ez du ezer egiten) itxura hau duena:
input {
}
filter {
}
output {
}
INPUT-en erregistroak zein portutara bidaliko diren eta zein protokoloren bidez konfiguratzen dugu, edo zein karpetatatik fitxategi berriak edo etengabe eguneratuak irakurtzeko. FILTER-en log-analisia konfiguratzen dugu: eremuak analizatu, balioak editatu, parametro berriak gehitu edo ezabatuz. IRAGAZKI Logstash-era editatzeko aukera asko dituen mezua kudeatzeko eremu bat da. Irteeran jada analizatutako erregistroa non bidaltzen dugun konfiguratzen dugu, elasticsearch bada JSON eskaera bat bidaltzen da zeinetan balioak dituzten eremuak bidaltzen diren, edo arazketaren parte gisa stdout-era atera daiteke edo fitxategi batean idatzi.
Elasticsearch
Hasieran, Elasticsearch testu osoko bilaketarako irtenbide bat da, baina erosotasun gehigarriekin, hala nola eskalatze erraza, erreplikazioa eta beste gauza batzuk, produktua oso erosoa eta datu-bolumen handiak dituzten karga handiko proiektuetarako soluzio ona bihurtuz. Elasticsearch Lucene testu osoko bilaketan oinarritutako JSON dokumentu-denda eta bilatzaile ez-erlazionala da (NoSQL). Hardware plataforma Java Virtual Machine da, beraz, sistemak prozesadore eta RAM baliabide kopuru handia behar du funtzionatzeko.
Sarrerako mezu bakoitza, Logstash-ekin edo kontsulta APIa erabiliz, "dokumentu" gisa indexatzen da - SQL erlazionaleko taula baten antzekoa. Dokumentu guztiak indize batean gordetzen dira - SQL-n datu-base baten analogoa.
Datu-baseko dokumentu baten adibidea:
{
"_index": "checkpoint-2019.10.10",
"_type": "_doc",
"_id": "yvNZcWwBygXz5W1aycBy",
"_version": 1,
"_score": null,
"_source": {
"layer_uuid": [
"dae7f01c-4c98-4c3a-a643-bfbb8fcf40f0",
"dbee3718-cf2f-4de0-8681-529cb75be9a6"
],
"outzone": "External",
"layer_name": [
"TSS-Standard Security",
"TSS-Standard Application"
],
"time": "1565269565",
"dst": "103.5.198.210",
"parent_rule": "0",
"host": "10.10.10.250",
"ifname": "eth6",
]
}
Datu-basearen lan guztiak REST APIa erabiliz JSON eskaeretan oinarritzen dira, dokumentuak indizearen bidez edo estatistika batzuk formatuan sortzen dituena: galdera - erantzuna. Eskaeren erantzun guztiak ikusteko, Kibana idatzi zen, hau da, web zerbitzu bat.
Kibana
Kibana-k elasticsearch datu-basetik datuak bilatu, berreskuratu eta kontsultatzeko estatistikak egiteko aukera ematen du, baina erantzunetan oinarrituta grafiko eta aginte-panel eder asko eraikitzen dira. Sistemak elasticsearch datu-baseen administrazio funtzionaltasuna ere badu; hurrengo artikuluetan zerbitzu hau zehatzago aztertuko dugu. Orain erakuts dezagun Check Point suebakiaren eta OpenVas ahultasun-eskaneraren aginte-panelen adibide bat eraiki daitekeen.
Check Point-erako aginte-panel baten adibidea, argazkia klikagarria da:
OpenVas-erako panel baten adibidea, argazkia klikagarria da:
Ondorioa
Zertan datzan aztertu dugu ELK pila, produktu nagusiak pixka bat ezagutu ditugu, aurrerago ikastaroan Logstash konfigurazio fitxategi bat idaztea, Kibana-n aginte-panelak konfiguratzea, API eskaerak, automatizazioa eta askoz gehiago ezagutzea aztertuko dugu!
Beraz, egon adi (, , , ), .
Iturria: www.habr.com