ProHoster > Блог > Nchịkwa > 3. Elastic stack: nyocha nke ndekọ nchekwa. bọọdụ dashboard

3. Elastic stack: nyocha nke ndekọ nchekwa. bọọdụ dashboard

3. Elastic stack: nyocha nke ndekọ nchekwa. bọọdụ dashboard

N'isiokwu ndị gara aga, anyị maara nke ọma na elk stack na ịmepụta faịlụ nhazi Logstash maka log parser N'isiokwu a, anyị ga-aga n'ihu na ihe kachasị mkpa site na nlele nyocha, ihe ị chọrọ hụ site na usoro na ihe niile e kere maka - ndị a bụ eserese na tebụl jikọtara n'ime dashboards. Taa, anyị ga-elebakwu anya na usoro ihe ngosi Kabana, anyị ga-eleba anya otú e si emepụta eserese na tebụl, na n'ihi ya, anyị ga-ewu dashboard dị mfe dabere na ndekọ si Check Point firewall.

Nzọụkwụ mbụ na-arụ ọrụ na kibana bụ ịmepụta ụkpụrụ index, n'ụzọ ezi uche dị na ya, nke a bụ ntọala nke indexes jikọtara ọnụ dịka ụkpụrụ ụfọdụ siri dị. N'ezie, nke a bụ naanị ntọala iji mee ka Kibana chọọ ozi n'ofe ndeksi niile n'otu oge. A na-ahazi ya site na ijikọ eriri, kwuo "Checkpoint-*" na aha ndeksi. Dịka ọmụmaatụ, "ebe nlele-2019.12.05" ga-adaba n'ụkpụrụ ahụ, mana naanị "ebe nlele" adịghịzi adị. Ọ bara uru ịkọwapụta iche na na nchọ ọ gaghị ekwe omume ịchọ ozi na usoro ndeksi dị iche iche n'otu oge; obere oge na isiokwu ndị na-esote anyị ga-ahụ na a na-arịọ arịrịọ API site n'aha nke ndeksi, ma ọ bụ naanị otu. ahịrị nke ụkpụrụ, foto a nwere ike pịa:

3. Elastic stack: nyocha nke ndekọ nchekwa. bọọdụ dashboard

Mgbe nke a gachara, anyị na-elele na menu Discover na edebere ndekọ niile ma hazie parser ziri ezi. Ọ bụrụ na achọpụtara ihe ọ bụla na-ekwekọghị ekwekọ, dịka ọmụmaatụ, na-agbanwe ụdị data site na eriri gaa na integer, ịkwesịrị idezi faịlụ nhazi Logstash, n'ihi ya, a ga-ede ndekọ ọhụrụ nke ọma. Ka ochie ochie wee were ụdị a chọrọ tupu mgbanwe ahụ, naanị usoro reindexing na-enyere aka; na isiokwu ndị na-esote, a ga-atụle ọrụ a n'ụzọ zuru ezu. Ka anyị hụ na ihe niile dị n'usoro, foto a nwere ike ịpị:

3. Elastic stack: nyocha nke ndekọ nchekwa. bọọdụ dashboard

Ndekọ ndị ahụ dị, nke pụtara na anyị nwere ike ịmalite iwu dashboards. Dabere na nyocha nke dashboards sitere na ngwaahịa nchekwa, ị nwere ike ịghọta ọnọdụ nchekwa ozi na nzukọ, hụ nke ọma adịghị ike na amụma dị ugbu a, wee mepụta ụzọ iji kpochapụ ha. Ka anyị wuo obere dashboard site n'iji ọtụtụ ngwaọrụ nhụta anya. Dashboard ga-enwe akụkụ 5:

  1. tebụl maka ịgbakọ ngụkọta ọnụ ọgụgụ nke ndekọ site agụba
  2. tebụl na mbinye aka IPS dị oke egwu
  3. eserese maka mmemme Mgbochi iyi egwu
  4. eserese nke saịtị kacha ewu ewu gara
  5. chaatị na ojiji nke ngwa ndị kasị dị ize ndụ

Iji mepụta ọnụọgụ anya, ịkwesịrị ịga na menu Hụ anya, wee họrọ ọnụ ọgụgụ achọrọ nke anyị chọrọ iwu! Ka anyị gaa n'usoro.

Tebụlụ maka ịgbakọ ọnụ ọgụgụ ndekọ ọnụ ọgụgụ site na agụba

Iji mee nke a, họrọ ọnụ ọgụgụ Isiokwu Data, Anyị na-adaba na ngwá ọrụ maka ịmepụta eserese, n'aka ekpe bụ ntọala nke ọnụ ọgụgụ, n'aka nri bụ otú ọ ga-esi ele anya na ntọala ndị dị ugbu a. Nke mbụ, m ga-egosipụta ihe okpokoro a gwụchara ga-adị ka, mgbe nke ahụ gasịrị, anyị ga-agafe na ntọala, foto a na-pịa:

3. Elastic stack: nyocha nke ndekọ nchekwa. bọọdụ dashboard

Ntọala zuru ezu nke ọnụ ọgụgụ a, foto a nwere ike ịpị:

3. Elastic stack: nyocha nke ndekọ nchekwa. bọọdụ dashboard

Ka anyị leba anya na ntọala.

Ahaziri na mbụ metrik, nke a bụ uru nke a ga-eji chịkọta mpaghara niile. A na-agbakọ metrics dabere na ụkpụrụ ewepụtara n'otu ụzọ ma ọ bụ ọzọ na akwụkwọ. A na-ewepụtakarị ụkpụrụ ndị ahụ nke ubi akwụkwọ, mana enwere ike imepụta ya site na iji edemede. Na nke a anyị na-etinye na Mkpokọta: Ngụkọta (ngụkọta ọnụ ọgụgụ nke ndekọ).

Mgbe nke a gasịrị, anyị na-ekewa tebụl n'ime akụkụ (ubi) nke a ga-agbakọọ metric. A na-arụ ọrụ a site na ntọala bọket, nke mebere nhọrọ ntọala abụọ:

  1. ahịrị kewara - na-agbakwunye ogidi ma mechaa kewaa tebụl n'ime ahịrị
  2. kewaa tebụl - nkewa n'ime ọtụtụ tebụl dabere na ụkpụrụ nke otu ubi.

В bọket ị nwere ike tinye ọtụtụ nkewa iji mepụta ọtụtụ kọlụm ma ọ bụ tebụl, ihe mgbochi ebe a bụ ihe ezi uche dị na ya. Na nchịkọta, ị nwere ike ịhọrọ usoro a ga-eji kewaa n'ime akụkụ: ipv4 nso, ụbọchị ụbọchị, Usoro, wdg. Nhọrọ kacha adọrọ mmasị bụ kpọmkwem okwu и Okwu ndị dị mkpa, nkewa n'ime akụkụ na-rụrụ dị ka ụkpụrụ nke a kpọmkwem index ubi, ihe dị iche n'etiti ha dabeere na ọnụ ọgụgụ nke laghachiri uru, na ha ngosi. Ebe ọ bụ na anyị chọrọ kewaa tebụl site n'aha agụba, anyị na-ahọrọ ubi - ngwaahịa.okwu ma tọọ nha ka ọ bụrụ ụkpụrụ 25 eweghachitere.

Kama eriri, elasticsearch na-eji ụdị data 2 - ederede и isiokwu. Ọ bụrụ na ịchọrọ ịme ọchụchọ ederede zuru oke, ị ga-eji ụdị ederede, ihe dị oke mma mgbe ị na-ede ọrụ ọchụchọ gị, dịka ọmụmaatụ, na-achọ aha okwu n'otu ọnụ ahịa ubi (ederede). Ọ bụrụ na ịchọrọ naanị otu egwuregwu, ị ga-eji ụdị isiokwu. Ọzọkwa, ekwesịrị iji ụdị data isi okwu maka mpaghara chọrọ nhazi ma ọ bụ mkpokọta, ya bụ, n'ọnọdụ anyị.

N'ihi ya, Elasticsearch na-agụta ọnụọgụ ndekọ maka oge ụfọdụ, gbakọtara site na uru dị na mpaghara ngwaahịa. Na Label omenala, anyị na-edobe aha kọlụm nke a ga-egosipụta na tebụl, debe oge anyị na-anakọta ndekọ, malite nsụgharị - Kibana na-eziga arịrịọ maka elasticsearch, na-echere nzaghachi wee jiri anya nke uche hụ data natara. Tebụl dị njikere!

Achịcha achịcha maka mmemme mgbochi iyi egwu

Nke kachasị mmasị bụ ozi gbasara mmeghachi omume ole dị ka pasent nchọpụta и gbochie na ihe omume nchekwa ozi na amụma nchekwa dị ugbu a. Chaatị achịcha na-arụ ọrụ nke ọma maka ọnọdụ a. Họrọ n'ile anya - Pie eserese. Nakwa na metric anyị na-edozi nchịkọta site na ọnụ ọgụgụ nke ndekọ. Na bọket anyị na-etinye Okwu => edinam.

Ihe niile yiri ka ọ bụ ihe ziri ezi, mana nsonaazụ ya na-egosi ụkpụrụ maka agụba niile; ịkwesịrị nyocha naanị site na agụba ndị ahụ na-arụ ọrụ n'ime usoro mgbochi egwu. Ya mere, anyị doro anya melite ya iyo iji chọọ ozi naanị na agụba na-ahụ maka ihe nchekwa ozi - ngwaahịa: (“Anti-Bot” OR “Anti-Virus” OR “DDoS Protector” MA ọ bụ “SmartDefense” ma ọ bụ “Egwu Emulation”). Enwere ike ịpị foto a:

3. Elastic stack: nyocha nke ndekọ nchekwa. bọọdụ dashboard

Na ntọala zuru ezu karị, foto a nwere ike ịpị:

3. Elastic stack: nyocha nke ndekọ nchekwa. bọọdụ dashboard

Tebụl mmemme IPS

Na-esote, ihe dị ezigbo mkpa site na nchekwa nchekwa ozi bụ ilele na ịlele ihe omume na agụba. IPS и Emula Egwunke anaghị egbochi amụma dị ugbu a, iji mechaa ma gbanwee mbinye aka iji gbochie, ma ọ bụ ọ bụrụ na okporo ụzọ ahụ dị irè, elelela mbinye aka. Anyị na-emepụta tebụl n'otu ụzọ ahụ dị ka ihe atụ mbụ, na naanị ihe dị iche na anyị na-emepụta ọtụtụ ogidi: protections.keyword, severity.keyword, product.keyword, originsicname.keyword. Jide n'aka na ị ga-edozi nzacha ka ịchọọ ozi naanị na agụba na-ahụ maka ihe nchekwa ozi - ngwaahịa: ("SmartDefense" MA ọ bụ "Egwu Emulation"). Enwere ike ịpị foto a:

3. Elastic stack: nyocha nke ndekọ nchekwa. bọọdụ dashboard

Ntọala zuru ezu karị, foto a nwere ike ịpị:

3. Elastic stack: nyocha nke ndekọ nchekwa. bọọdụ dashboard

Chart maka saịtị ndị kacha ewu ewu

Iji mee nke a, mepụta ọnụ ọgụgụ - Ogwe kwụ ọtọ. Anyị na-ejikwa ọnụ (Y axis) dị ka metrik, na axis X anyị ga-eji aha saịtị ndị a gara dị ka ụkpụrụ - "appi_name". Enwere obere aghụghọ ebe a: ọ bụrụ na ị na-agba ọsọ ntọala na ụdị dị ugbu a, a ga-edobe saịtị niile na eserese ahụ na otu agba, iji mee ka ha nwee ọtụtụ agba, anyị na-eji ntọala ọzọ - "usoro nkewa", nke na-enye gị ohere kewaa kọlụm dị njikere n'ime ọtụtụ ụkpụrụ, dabere na mpaghara ahọpụtara n'ezie! Enwere ike iji nkewa a dị ka kọlụm nwere agba agba dị iche iche dabere na ụkpụrụ dị na ọnọdụ stacked, ma ọ bụ na ọnọdụ nkịtị iji mepụta ọtụtụ kọlụm dị ka otu uru dị na axis X si dị. N'okwu a, anyị na-eji. Otu uru dị na axis X, nke a na-eme ka ogidi niile nwee ọtụtụ agba; a ga-egosipụta ha site na agba dị n'elu aka nri. N'ime nzacha anyị debere ngwaahịa: "URL Filtering" iji hụ ozi naanị na saịtị ndị a gara, enwere ike ịpị foto a:

3. Elastic stack: nyocha nke ndekọ nchekwa. bọọdụ dashboard

Ntọala:

3. Elastic stack: nyocha nke ndekọ nchekwa. bọọdụ dashboard

Eserese na ojiji nke ngwa kachasị dị ize ndụ

Iji mee nke a, mepụta ọnụ ọgụgụ - Ogwe kwụ ọtọ. Anyị na-ejikwa ọnụ ọgụgụ (Y axis) dị ka metrik, na axis X anyị ga-eji aha ngwa eji - "app_name" dị ka ụkpụrụ. Nke kachasị mkpa bụ ntọala nzacha - ngwaahịa: "Njikwa ngwa" NA ngwa_risk: (4 OR 5 ma ọ bụ 3 ) NA omume: "nabata". Anyị na-enyocha ndekọ site na ngwa njikwa ngwa, na-ewere naanị saịtị ndị ahụ ekewapụtara dị ka Critical, High, Ọkara saịtị dị ize ndụ na naanị ma ọ bụrụ na anabata ohere na saịtị ndị a. Enwere ike ịpị foto a:

3. Elastic stack: nyocha nke ndekọ nchekwa. bọọdụ dashboard

Ntọala, enwere ike ịpị:

3. Elastic stack: nyocha nke ndekọ nchekwa. bọọdụ dashboard

Dashboard

Ilele na imepụta dashboard dị na ihe nchịkọta nhọrọ dị iche - Dashboard. Ihe niile dị mfe ebe a, a na-emepụta dashboard ọhụrụ, a na-agbakwunye ọhụụ na ya, tinye ya n'ọnọdụ ya na ọ bụ ya!

Anyị na-eke dashboard nke ị nwere ike ịghọta ọnọdụ bụ isi nke ọnọdụ nchekwa ozi na nzukọ, n'ezie, naanị na ọkwa Check Point, a na-pịa foto a:

3. Elastic stack: nyocha nke ndekọ nchekwa. bọọdụ dashboard

Dabere na eserese ndị a, anyị nwere ike ịghọta nke mbinye aka dị egwu na-egbochighị na firewall, ebe ndị ọrụ na-aga, yana ngwa kachasị dị ize ndụ ha na-eji.

nkwubi

Anyị lere anya n'ikike nke nhụta ihe bụ isi na Kibana wee wuo dashboard, mana nke a bụ naanị obere akụkụ. Ọzọkwa n'ime usoro ahụ anyị ga-eleba anya iche iche ịtọlite ​​​​mapụ, na-arụ ọrụ na sistemụ elasticsearch, ịmara arịrịọ API, akpaaka na ọtụtụ ndị ọzọ!

Ya mere nọrọ na nchetelegram, Facebook, VK, Blọọgụ Ngwọta TS), Ndị ọrụ Yandex Zen.

isi: www.habr.com

Tinye a comment