Circa finem venditionum in Russia de Splunk logings et analyticos systematis, quaesitum est: quid potest hanc solutionem reponere? Postquam me variis solutionibus consumptis consuescerem, constitui solutionem veri hominis - "ELK acervus". Haec ratio temporis ad instituendum operam dat, sed ex consequenti systema validissimum accipere potes ad statum examinandum et prompte respondendo ad res securitatis informationes in ordinatione. In hac articulorum serie, basicas (vel fortasse non) facultates acervi ELK videbimus, considera quomodo potes ligna parse, quomodo graphas et ashboardas condere, et quae commoda functiones fieri possunt utendo exemplo lignorum e perscriptio Point firewall vel OpenVas securitatem scanner. Incipiendum est, inspiciamus quid sit - ELK BIBLIOTHECA, et quae ex his componentibus constat.
"ELK acervus" acronymus est tria principia aperta; Elasticsearch, Logstash и Kibana. Developed by Elastica with all related inceptis. Investigatio elastica est nucleus totius systematis quae componit functiones systematis database, inquisitionis et analytici. Logstash est server lateris processus datorum pipelineorum qui notitias ex multiplicibus fontibus simul accipit, parses truncum, et deinde ad datorum elasticarum inquisitionem mittit. Kibana permittit utentes ad visualize notitia utentes chartis et graphis in Elastica inquisitione. Etiam datorum per Kibana administrare potes. Deinceps singillatim singillatim considerabimus.
Logstash
Logstash utilitas est ad res e variis fontibus dispensandas, cum quibus agros eorumque bona per nuntium eligere potes, et notitias eliquare et edendas configurare potes. Post omnes machinationes, Logstash eventus redirectores ad ultimam datam reponunt. Utilitas configuratur solum per imaginum conformationem.
Logstash conformatio typica est fasciculus(s) constans ex pluribus rivis advenientis informationis (input), compluras filtras huius informationis (filter) et plurium rivorum exitus (output). Apparet sicut unum vel plures fasciculi configurationis, qui in versione simplicissima (quae nihil omnino facit) hoc modo spectat:
input {
}
filter {
}
output {
}
In INPUT configuramus quem trabes ad portum mittentur et per quem protocollum, vel ex quo folder ut tabulas novas vel continuos renovatas legerit. In FILTER configuramus parser truncum: parsing agros, valores emendos, novos parametros addendo vel delendo. FILTER ager est ad nuntium administrandum qui Logstash venit cum multa optiones emendandi. In output configuramus ubi stipes iam parsed mittimus, si elastica est petitio JSON mittitur in quo agros cum valoribus mittuntur, vel ut pars debug output ad stdout vel ad limam scriptam esse potest.
ElasticSearch
Initio, elasticae quaestionis solutio est quaestionis plenae, sed adiectis amoenitatibus, ut faciles scalas, replicationes et alia, quae productum commodam et bonam solutionem fecerunt pro magni oneris inceptis cum amplis voluminibus notitiarum. Investigatio elastica non relativa est (NoSQL) JSON copia documenti et quaesitio innixa in Lucene plena inquisitionis textu. Ferramenta suggestum Java Machina Virtualis est, ergo ratio magnam vim processus et facultates RAM ad operandum requirit.
Singulae epistulae advenientes, vel cum Logstash vel API interrogatione utentes, "documentum" - analogum ad mensam in relationibus SQL recensentur. Omnia documenta in indice - analogo database in SQL reposita sunt.
Exemplum documenti in database:
{
"_index": "checkpoint-2019.10.10",
"_type": "_doc",
"_id": "yvNZcWwBygXz5W1aycBy",
"_version": 1,
"_score": null,
"_source": {
"layer_uuid": [
"dae7f01c-4c98-4c3a-a643-bfbb8fcf40f0",
"dbee3718-cf2f-4de0-8681-529cb75be9a6"
],
"outzone": "External",
"layer_name": [
"TSS-Standard Security",
"TSS-Standard Application"
],
"time": "1565269565",
"dst": "103.5.198.210",
"parent_rule": "0",
"host": "10.10.10.250",
"ifname": "eth6",
]
}
Totum opus cum database fundatur in JSON petitionibus utens CETERA API, quae vel documenta per indicem vel aliqua statistica in forma producunt: interrogatio - responsio. Ut omnes responsiones petitiones visualizes, Kibana scripta est, quae servitium interretialem est.
Kibana
Kibana permittit te quaerere, datas recuperare et interrogationem statisticam ex datorum elasticarum inquisitione, sed multae graphes pulchrae et ashboardulae fundatae responsa struuntur. Systema elasticae inquisitionis database administrationis functionalitatem habet, in articulis subsequentibus hoc officium fusius spectabimus. Nunc exemplum ostendemus de dashboards pro Check Point firewall et OpenVas vulnerability scanner qui aedificari potest.
Exemplum ashboardday pro Check Point, imago strepitant;
Exemplum ashboardday pro OpenVas, imago strepita est:
conclusio,
Vidimus quid sit ACERVUS acervus, parum quaesivimus de principalibus productis, postea in curriculo seorsim considerabo scribendo tabulam configurationis Logstash, ashboardas in Kibana constituendo, cognoscendo petitiones API, automationem et multo amplius!
Itaque mane in luctum (, , , ), .
Source: www.habr.com