په روسیه کې د سپلنک لاګنګ او تحلیلي سیسټم د پلور پای ته رسیدو سره ، پوښتنه راپورته شوه: څه شی کولی شي دا حل بدل کړي؟ د مختلفو حلونو سره د ځان پیژندلو وخت تیرولو وروسته، ما د یو ریښتیني سړي لپاره حل حل کړ - "ELK سټک". دا سیسټم تنظیم کول وخت نیسي ، مګر په پایله کې تاسو کولی شئ د وضعیت تحلیل کولو او په سازمان کې د معلوماتو امنیت پیښو ته سمدستي ځواب ویلو لپاره خورا پیاوړی سیسټم ترلاسه کړئ. د مقالو په دې لړۍ کې، موږ به د ELK سټیک اساسي (یا شاید نه) وړتیاوو ته وګورو، په پام کې ونیسئ چې تاسو څنګه لاګونه پارس کولی شئ، څنګه ګرافونه او ډشبورډونه جوړ کړئ، او کوم په زړه پورې دندې ترسره کیدی شي د لوګو مثال په کارولو سره. د چیک پوائنټ فایر وال یا د OpenVas امنیت سکینر. د پیل کولو لپاره، راځئ وګورو چې دا څه دي - د ELK سټیک، او کوم اجزا پکې شامل دي.
"ELK سټک" د دریو خلاصې سرچینې پروژو لپاره لنډیز دی: الیسټسیکټ, لوټسټش и کببا. د ټولو اړوندو پروژو سره د ایلاسټیک لخوا رامینځته شوی. Elasticsearch د ټول سیسټم اساس دی، کوم چې د ډیټابیس، لټون او تحلیلي سیسټم دندې سره یوځای کوي. Logstash د سرور خواه ډیټا پروسس کولو پایپ لاین دی چې په ورته وخت کې د ډیری سرچینو څخه ډیټا ترلاسه کوي ، لاګ پارس کوي ، او بیا یې د Elasticsearch ډیټابیس ته لیږي. کیبانا کاروونکو ته اجازه ورکوي چې په Elasticsearch کې د چارټونو او ګرافونو په کارولو سره ډاټا لید کړي. تاسو کولی شئ د کیبانا له لارې ډیټابیس هم اداره کړئ. بیا، موږ به هر سیسټم په جلا توګه په تفصیل سره په پام کې ونیسو.
لوټسټش
Logstash د مختلفو سرچینو څخه د لاګ پیښو پروسس کولو لپاره یو ګټور دی، چې تاسو کولی شئ په پیغام کې ساحې او د دوی ارزښتونه وټاکئ، او تاسو کولی شئ د ډاټا فلټر کول او ترمیم هم تنظیم کړئ. د ټولو لاسوهنو وروسته، Logstash پیښې وروستي ډاټا پلورنځي ته لیږدول کیږي. افادیت یوازې د تشکیلاتو فایلونو له لارې تنظیم شوی.
د لوګسټاش عادي ترتیب یو فایل دی چې د معلوماتو څو راتلونکو جریانونو (ان پټ)، د دې معلوماتو لپاره څو فلټرونه (فلټر) او ډیری بهر ته تلونکي جریانونه (آؤټ پوټ) لري. دا د یو یا ډیرو ترتیباتو فایلونو په څیر ښکاري، کوم چې په ساده نسخه کې (کوم چې هیڅ شی نه کوي) داسې ښکاري:
input {
}
filter {
}
output {
}
په INPUT کې موږ تنظیم کوو چې لاګونه به کوم پورټ ته واستول شي او د کوم پروتوکول له لارې ، یا له کوم فولډر څخه د نوي یا دوامداره تازه فایلونو لوستلو لپاره. په فلټر کې موږ د لاګ پارسر ترتیب کوو: د ساحې تحلیل کول، د ارزښتونو ترمیم کول، نوي پیرامیټونه اضافه کول یا حذف کول. FILTER د پیغام اداره کولو لپاره یوه ساحه ده چې د ډیری ترمیم اختیارونو سره Logstash ته راځي. په محصول کې موږ تنظیم کوو چیرې چې موږ دمخه پارس شوي لاګ لیږو ، په هغه صورت کې چې دا د لچک وړ لټون وي د JSON غوښتنه لیږل کیږي په کوم کې چې د ارزښتونو سره ساحې لیږل کیږي ، یا د ډیبګ برخې په توګه دا د سټیډ آوټ یا فایل ته لیکل کیدی شي.
لچچک لټون
په پیل کې ، Elasticsearch د بشپړ متن لټون لپاره حل دی ، مګر د اضافي اسانتیاو لکه اسانه اندازه کول ، نقل کول او نور شیان سره ، کوم چې محصول خورا اسانه کړی او د ډیټا لوی مقدار سره د لوړ بار پروژو لپاره ښه حل دی. Elasticsearch یو غیر اړونده (NoSQL) JSON سند پلورنځی او د لټون انجن دی چې د لوسین بشپړ متن لټون پراساس دی. د هارډویر پلیټ فارم د جاوا مجازی ماشین دی، نو سیسټم د کار کولو لپاره لوی مقدار پروسیسر او RAM سرچینو ته اړتیا لري.
هر راتلونکی پیغام، یا د Logstash سره یا د پوښتنې API په کارولو سره، د "سند" په توګه ترتیب شوی - په اړونده SQL کې د میز سره ورته. ټول اسناد په یوه شاخص کې زیرمه شوي دي - په SQL کې د ډیټابیس انلاګ.
په ډیټابیس کې د سند بیلګه:
{
"_index": "checkpoint-2019.10.10",
"_type": "_doc",
"_id": "yvNZcWwBygXz5W1aycBy",
"_version": 1,
"_score": null,
"_source": {
"layer_uuid": [
"dae7f01c-4c98-4c3a-a643-bfbb8fcf40f0",
"dbee3718-cf2f-4de0-8681-529cb75be9a6"
],
"outzone": "External",
"layer_name": [
"TSS-Standard Security",
"TSS-Standard Application"
],
"time": "1565269565",
"dst": "103.5.198.210",
"parent_rule": "0",
"host": "10.10.10.250",
"ifname": "eth6",
]
}
د ډیټابیس سره ټول کار د REST API په کارولو سره د JSON غوښتنو پراساس دی، کوم چې یا د شاخص یا ځینې احصایې په بڼه اسناد تولیدوي: پوښتنه - ځواب. غوښتنو ته د ټولو ځوابونو لیدلو لپاره، کیبانا لیکل شوی، کوم چې یو ویب خدمت دی.
کببا
کیبانا تاسو ته اجازه درکوي د elasticsearch ډیټابیس څخه ډاټا او د پوښتنو احصایې وپلټئ، بیرته ترلاسه کړئ، مګر ډیری ښکلي ګرافونه او ډشبورډونه د ځوابونو پراساس جوړ شوي. سیسټم د elasticsearch ډیټابیس ادارې فعالیت هم لري؛ په راتلونکو مقالو کې به موږ دا خدمت په ډیر تفصیل سره وګورو. اوس راځئ چې د چیک پوائنټ فایر وال او د OpenVas زیان منونکي سکینر لپاره د ډشبورډونو مثال وښایه چې رامینځته کیدی شي.
د چیک پوائنټ لپاره د ډشبورډ مثال ، عکس د کلیک کولو وړ دی:
د OpenVas لپاره د ډشبورډ یوه بیلګه، انځور د کلک کولو وړ دی:
پایلې
موږ وګورو چې دا څه شی لري د ELK سټیک، موږ د اصلي محصولاتو سره یو څه آشنا شو ، وروسته په کورس کې به موږ په جلا توګه د لوګسټاش ترتیب کولو فایل لیکلو باندې غور وکړو ، په کبانا کې ډشبورډونه تنظیم کړو ، د API غوښتنو سره آشنا شو ، اتومات او نور ډیر څه!
نو ولاړ شه, , , ), .
سرچینه: www.habr.com