පෙර ලිපිවලදී, අපි එල්ක් ස්ටැක් සහ ලොග් විග්රහකය සඳහා ලොග්ස්ටාෂ් වින්යාස ගොනුව සැකසීම පිළිබඳව ටිකක් හුරුපුරුදු විය. පද්ධතියෙන් බලන්න සහ සියල්ල නිර්මාණය කළේ කුමක් සඳහාද - මේවා ප්රස්ථාර සහ වගු ඒකාබද්ධ වේ උපකරණ පුවරු. අද අපි දෘශ්යකරණ පද්ධතිය දෙස සමීපව බලමු කිබානා, අපි ප්රස්ථාර සහ වගු නිර්මාණය කරන්නේ කෙසේදැයි සොයා බලමු, එහි ප්රතිඵලයක් ලෙස අපි Check Point ෆයර්වෝලයෙන් ලොග් මත පදනම්ව සරල උපකරණ පුවරුවක් ගොඩනඟමු.
කිබානා සමඟ වැඩ කිරීමේ පළමු පියවර වන්නේ නිර්මාණය කිරීමයි දර්ශක රටාව, තර්කානුකූලව, මෙය යම් මූලධර්මයකට අනුව එක්සත් වූ දර්ශකවල පදනමකි. ඇත්ත වශයෙන්ම, මෙය තනිකරම Kibana වඩාත් පහසු ලෙස සියලු දර්ශක හරහා එකම අවස්ථාවේදීම තොරතුරු සෙවීමට සැකසීමකි. එය තන්තුවක් ගැලපීම මගින් සකසා ඇත, "මුරපොල-*" සහ දර්ශකයේ නම කියන්න. උදාහරණයක් ලෙස, "මුරපොල-2019.12.05" රටාවට ගැලපේ, නමුත් සරලව "මුරපොල" තවදුරටත් නොපවතී. සෙවීමේදී එකවර විවිධ දර්ශක රටා පිළිබඳ තොරතුරු සෙවිය නොහැකි බව වෙන වෙනම සඳහන් කිරීම වටී; මඳ වේලාවකට පසුව ඊළඟ ලිපිවල API ඉල්ලීම් දර්ශක නාමයෙන් හෝ එකක් මගින් සිදු කරන බව අපට පෙනෙනු ඇත. රටාවේ රේඛාව, පින්තූරය ක්ලික් කළ හැකිය:
මෙයින් පසු, අපි සියලු ලොගයන් සුචිගත කර ඇති අතර නිවැරදි විග්රහකය වින්යාස කර ඇති බව අපි Discover මෙනුව තුළ පරීක්ෂා කරමු. කිසියම් නොගැලපීම් හමු වුවහොත්, උදාහරණයක් ලෙස, දත්ත වර්ගය තන්තුවකින් පූර්ණ සංඛ්යාවකට වෙනස් කිරීම, ඔබට Logstash වින්යාස ගොනුව සංස්කරණය කිරීමට අවශ්ය වේ, එහි ප්රතිඵලයක් ලෙස, නව ලඝු-සටහන් නිවැරදිව ලියා ඇත. පැරණි ලඝු-සටහන් වෙනස් කිරීමට පෙර අපේක්ෂිත පෝරමය ලබා ගැනීම සඳහා, නැවත සුචිගත කිරීමේ ක්රියාවලිය පමණක් උපකාරී වේ; ඊළඟ ලිපිවල මෙම මෙහෙයුම වඩාත් විස්තරාත්මකව සාකච්ඡා කරනු ඇත. සෑම දෙයක්ම පිළිවෙලට ඇති බවට වග බලා ගනිමු, පින්තූරය ක්ලික් කළ හැකි ය:
ලඝු-සටහන් ස්ථානගතව ඇත, එනම් අපට උපකරණ පුවරු තැනීම ආරම්භ කළ හැකිය. ආරක්ෂක නිෂ්පාදනවල උපකරණ පුවරු විශ්ලේෂණ මත පදනම්ව, ඔබට සංවිධානයක තොරතුරු ආරක්ෂාව පිළිබඳ තත්ත්වය තේරුම් ගත හැකිය, වත්මන් ප්රතිපත්තියේ ඇති දුර්වලතා පැහැදිලිව දැකගත හැකි අතර පසුව ඒවා ඉවත් කිරීමට ක්රම සංවර්ධනය කළ හැකිය. දෘශ්යකරණ මෙවලම් කිහිපයක් භාවිතා කර කුඩා උපකරණ පුවරුවක් සාදා ගනිමු. උපකරණ පුවරුව සංරචක 5 කින් සමන්විත වේ:
- තල මගින් මුළු ලොග ගණන ගණනය කිරීම සඳහා වගුව
- විවේචනාත්මක IPS අත්සන් පිළිබඳ වගුව
- තර්ජන වැළැක්වීමේ සිදුවීම් සඳහා පයි ප්රස්ථාරය
- වඩාත්ම ජනප්රිය නැරඹූ අඩවි වල ප්රස්ථාරය
- වඩාත්ම භයානක යෙදුම් භාවිතය පිළිබඳ වගුව
දෘශ්යකරණ රූප නිර්මාණය කිරීම සඳහා, ඔබ මෙනුවට යා යුතුය දර්ශනය කරන්න, සහ අපට ගොඩනැගීමට අවශ්ය රූපය තෝරන්න! අපි පිළිවෙලට යමු.
තලය මගින් මුළු ලොග ගණන ගණනය කිරීම සඳහා වගුව
මෙය සිදු කිරීම සඳහා, රූපයක් තෝරන්න දත්ත වගුව, අපි ප්රස්ථාර නිර්මාණය කිරීම සඳහා උපකරණවලට වැටේ, වම් පසින් රූපයේ සැකසුම් ඇත, දකුණු පසින් එය වත්මන් සැකසුම් තුළ පෙනෙන්නේ කෙසේද යන්නයි. පළමුව, නිමි වගුව කෙබඳුදැයි මම නිරූපණය කරමි, ඉන්පසු අපි සැකසුම් හරහා යමු, පින්තූරය ක්ලික් කළ හැකිය:
රූපයේ වඩාත් සවිස්තරාත්මක සැකසුම්, පින්තූරය ක්ලික් කළ හැකිය:
අපි සැකසුම් දෙස බලමු.
මුලින් වින්යාස කර ඇත මිනුම්, සියලුම ක්ෂේත්ර එකතු කරන අගය මෙයයි. ප්රමිතික ගණනය කරනු ලබන්නේ ලේඛන වලින් එක් ආකාරයකින් හෝ වෙනත් ආකාරයකින් උපුටා ගත් අගයන් මත ය. අගයන් සාමාන්යයෙන් උපුටා ගනු ලැබේ ක්ෂේත්ර ලේඛනය, නමුත් ස්ක්රිප්ට් භාවිතයෙන්ද ජනනය කළ හැක. මෙම අවස්ථාවේ දී, අපි ඇතුල් කරමු එකතු කිරීම: ගණන් කිරීම (මුළු ලඝු ගණන).
මෙයින් පසු, අපි වගුව ගණනය කරනු ලබන කොටස් (ක්ෂේත්ර) වලට බෙදන්නෙමු. මෙම කාර්යය සිදු කරනු ලබන්නේ බාල්දි සැකසුම මගින් වන අතර, එය සැකසුම් විකල්ප 2 කින් සමන්විත වේ:
- පේළි බෙදීම - තීරු එකතු කිරීම සහ පසුව වගුව පේළි වලට බෙදීම
- බෙදීම් වගුව - නිශ්චිත ක්ෂේත්රයක අගයන් මත පදනම්ව වගු කිහිපයකට බෙදීම.
В බාල්දි තීරු හෝ වගු කිහිපයක් සෑදීමට ඔබට බෙදීම් කිහිපයක් එකතු කළ හැකිය, මෙහි ඇති සීමාවන් තරමක් තාර්කික ය. එකතු කිරීමේදී, ඔබට කොටස් වලට බෙදීමට භාවිතා කරන ක්රමය තෝරාගත හැක: ipv4 පරාසය, දින පරාසය, නියමයන්, ආදිය. වඩාත්ම සිත්ගන්නා තේරීම හරියටම වේ කොන්දේසි и සැලකිය යුතු කොන්දේසි, කොටස් වලට බෙදීම නිශ්චිත දර්ශක ක්ෂේත්රයක අගයන් අනුව සිදු කරනු ලැබේ, ඒවා අතර වෙනස පවතින්නේ ආපසු ලබා දුන් අගයන් ගණන සහ ඒවායේ සංදර්ශකය තුළ ය. අපට මේසය තලවල නමෙන් බෙදීමට අවශ්ය බැවින්, අපි ක්ෂේත්රය තෝරා ගනිමු - product.keyword සහ ප්රමාණය ආපසු ලබා දුන් අගයන් 25ට සකසන්න.
නූල් වෙනුවට, elasticsearch දත්ත වර්ග 2ක් භාවිතා කරයි - පෙළ и ඉඟි පද. ඔබට සම්පූර්ණ පෙළ සෙවුමක් කිරීමට අවශ්ය නම්, ඔබ පෙළ වර්ගය භාවිතා කළ යුතුය, ඔබේ සෙවුම් සේවාව ලිවීමේදී ඉතා පහසු දෙයක්, උදාහරණයක් ලෙස, නිශ්චිත ක්ෂේත්ර අගයක (පෙළ) වචනයක් සඳහනක් සොයමින්. ඔබට නිශ්චිත ගැලපීමක් පමණක් අවශ්ය නම්, ඔබ මූල පද වර්ගය භාවිතා කළ යුතුය. එසේම, මූල පද දත්ත වර්ගය වර්ග කිරීම හෝ එකතු කිරීම අවශ්ය ක්ෂේත්ර සඳහා භාවිතා කළ යුතුය, එනම් අපගේ නඩුවේදී.
එහි ප්රතිඵලයක් වශයෙන්, Elasticsearch නිෂ්පාදන ක්ෂේත්රයේ අගය අනුව එකතු කරන ලද නිශ්චිත කාලයක් සඳහා ලොග් ගණන ගණන් කරයි. අභිරුචි ලේබලය තුළ, අපි වගුවේ දර්ශනය වන තීරුවේ නම සකසන්නෙමු, අපි ලඝු-සටහන් එකතු කරන වේලාව සකසන්නෙමු, විදැහුම්කරණය ආරම්භ කරන්නෙමු - කිබානා ඉලාස්ටික් සෙවීමට ඉල්ලීමක් යවයි, ප්රතිචාරයක් සඳහා රැඳී සිට පසුව ලැබුණු දත්ත දෘශ්යමාන කරයි. මේසය සූදානම්!
තර්ජන වැළැක්වීමේ සිද්ධීන් සඳහා පයි ප්රස්ථාරය
ප්රතිශතයක් ලෙස ප්රතික්රියා කීයක් තිබේද යන්න පිළිබඳ තොරතුරු විශේෂ උනන්දුවක් දක්වයි හඳුනාගත හැකිය и වළක්වා ගන්න වත්මන් ආරක්ෂක ප්රතිපත්තියේ තොරතුරු ආරක්ෂණ සිදුවීම් මත. මෙම තත්ත්වය සඳහා පයි ප්රස්ථාරයක් හොඳින් ක්රියා කරයි. දෘශ්යකරණය තුළ තෝරන්න - පයි සටහන. මෙට්රික් එකේ අපි ලොග් ගණන අනුව එකතු කිරීම සකසන්නෙමු. බාල්දි වල අපි Terms => action දානවා.
සෑම දෙයක්ම නිවැරදි බව පෙනේ, නමුත් ප්රති result ලය සියලුම තල සඳහා අගයන් පෙන්වයි; ඔබ පෙරීමට අවශ්ය වන්නේ තර්ජන වැළැක්වීමේ රාමුව තුළ ක්රියා කරන එම තල වලින් පමණි. එබැවින්, අපි එය අනිවාර්යයෙන්ම සකස් කරමු සයිටර්ස් තොරතුරු ආරක්ෂණ සිදුවීම් සඳහා වගකිව යුතු තලවල පමණක් තොරතුරු සෙවීම සඳහා - නිෂ්පාදනය: ("Anti-Bot" හෝ "නව ප්රති-වයිරස" හෝ "DDoS ආරක්ෂකයා" හෝ "SmartDefense" හෝ "තර්ජන අනුකරණය"). පින්තූරය ක්ලික් කළ හැකි ය:
සහ වඩාත් සවිස්තරාත්මක සැකසුම්, පින්තූරය ක්ලික් කළ හැකිය:
IPS සිදුවීම් වගුව
ඊළඟට, තොරතුරු ආරක්ෂණ දෘෂ්ටි කෝණයකින් ඉතා වැදගත් වන්නේ තලයෙහි සිදුවීම් බැලීම සහ පරීක්ෂා කිරීමයි. IPS и තර්ජන අනුකරණය, ඒ අවහිර නොවේ වත්මන් ප්රතිපත්තිය, පසුව වැළැක්වීම සඳහා අත්සන වෙනස් කිරීමට හෝ ගමනාගමනය වලංගු නම්, අත්සන පරීක්ෂා නොකරන්න. අපි පළමු උදාහරණයේ ආකාරයටම වගුව සාදන්නෙමු, අපි තීරු කිහිපයක් සාදන එකම වෙනස සමඟින්: protections.keyword, severity.keyword, product.keyword, originsicname.keyword. තොරතුරු ආරක්ෂණ සිදුවීම් සඳහා වගකිව යුතු තලවල පමණක් තොරතුරු සෙවීම සඳහා පෙරහනක් සැකසීමට වග බලා ගන්න - නිෂ්පාදනය: (“SmartDefense” හෝ “තර්ජන අනුකරණය”). පින්තූරය ක්ලික් කළ හැකි ය:
වඩාත් සවිස්තරාත්මක සැකසුම්, පින්තූරය ක්ලික් කළ හැකිය:
වඩාත්ම ජනප්රිය පිවිසි අඩවි සඳහා ප්රස්ථාර
මෙය සිදු කිරීම සඳහා, රූපයක් සාදන්න - සිරස් තීරුව. අපි ගණන් කිරීම (Y අක්ෂය) මෙට්රික් එකක් ලෙස භාවිතා කරන අතර X අක්ෂය මත අපි පිවිසි අඩවි වල නම අගයන් ලෙස භාවිතා කරමු - “appi_name”. මෙහි කුඩා උපක්රමයක් තිබේ: ඔබ වත්මන් අනුවාදයේ සැකසුම් ක්රියාත්මක කරන්නේ නම්, සියලුම වෙබ් අඩවි එකම වර්ණයෙන් ප්රස්ථාරයේ සලකුණු කරනු ඇත, ඒවා බහු-වර්ණ කිරීම සඳහා අපි අතිරේක සැකසුම් භාවිතා කරමු - “බෙදීම් මාලාව”, තෝරාගත් ක්ෂේත්රය අනුව, සූදානම් කළ තීරුවක් තවත් අගයන් කිහිපයකට බෙදීමට ඔබට ඉඩ සලසයි! මෙම බෙදීම එක් එක් බහු-වර්ණ තීරුවක් ලෙස ගොඩගැසී ඇති ප්රකාරයේ අගයන් අනුව හෝ සාමාන්ය ප්රකාරයේදී X අක්ෂයේ යම් අගයකට අනුව තීරු කිහිපයක් සෑදීමට භාවිතා කළ හැක.මෙහිදී අපි භාවිතා කරන්නේ X අක්ෂයේ ඇති අගයට සමාන අගයක්, මෙය සියලු තීරු බහු-වර්ණ කිරීමට හැකි කරයි; ඒවා ඉහළ දකුණේ වර්ණවලින් දැක්වේ. අප විසින් සකසන ලද පෙරහන තුළ - නිෂ්පාදනය: “URL පෙරීම” නැරඹූ අඩවි වල පමණක් තොරතුරු බැලීමට, පින්තූරය ක්ලික් කළ හැකිය:
සැකසුම්:
වඩාත්ම භයානක යෙදුම් භාවිතය පිළිබඳ රූප සටහන
මෙය සිදු කිරීම සඳහා, රූපයක් සාදන්න - සිරස් තීරුව. අපි ගණන් කිරීම (Y අක්ෂය) මෙට්රික් එකක් ලෙස භාවිතා කරන අතර, X අක්ෂය මත අපි භාවිතා කරන යෙදුම්වල නම - “appi_name” අගයන් ලෙස භාවිතා කරන්නෙමු. වඩාත්ම වැදගත් වන්නේ පෙරහන් සැකසීමයි - නිෂ්පාදනය: "යෙදුම් පාලනය" සහ යෙදුම්_අවදානම: (4 හෝ 5 හෝ 3 ) සහ ක්රියාව: "පිළිගන්න". අපි යෙදුම් පාලන තලය මගින් ලඝු-සටහන් පෙරහන් කරන්නෙමු, විවේචනාත්මක, ඉහළ, මධ්යම අවදානම් අඩවි ලෙස වර්ගීකරණය කර ඇති එම අඩවි පමණක් ගනිමින් සහ මෙම වෙබ් අඩවිවලට ප්රවේශ වීමට අවසර තිබේ නම් පමණි. පින්තූරය ක්ලික් කළ හැකි ය:
සැකසීම්, ක්ලික් කළ හැකි:
උපකරණ පුවරුව
උපකරණ පුවරු බැලීම සහ නිර්මාණය කිරීම වෙනම මෙනු අයිතමයක ඇත - උපකරණ පුවරුව. මෙහි සෑම දෙයක්ම සරලයි, නව උපකරණ පුවරුවක් සාදනු ලැබේ, එයට දෘශ්යකරණය එකතු කර, එහි ස්ථානයේ තබා ඇත, එපමණයි!
අපි ආයතනයක තොරතුරු ආරක්ෂාව පිළිබඳ මූලික තත්ත්වය ඔබට තේරුම් ගත හැකි උපකරණ පුවරුවක් සාදන්නෙමු, ඇත්ත වශයෙන්ම, චෙක් පොයින්ට් මට්ටමින් පමණක්, පින්තූරය ක්ලික් කළ හැකිය:
මෙම ප්රස්ථාර මත පදනම්ව, ෆයර්වෝලයේ අවහිර කර නොමැති විවේචනාත්මක අත්සන් මොනවාද, පරිශීලකයින් යන්නේ කොතැනටද සහ ඔවුන් භාවිතා කරන වඩාත්ම භයානක යෙදුම් මොනවාද යන්න අපට තේරුම් ගත හැකිය.
නිගමනය
අපි Kibana හි මූලික දෘශ්යකරණයේ හැකියාවන් දෙස බලා උපකරණ පුවරුවක් සෑදුවෙමු, නමුත් මෙය කුඩා කොටසක් පමණි. තවදුරටත් පාඨමාලාවේදී අපි සිතියම් සැකසීම, ඉලාස්ටික් සෙවුම් පද්ධතිය සමඟ වැඩ කිරීම, API ඉල්ලීම්, ස්වයංක්රීයකරණය සහ තවත් බොහෝ දේ ගැන වෙන වෙනම බලමු!
එබැවින් රැඳී සිටින්න, , , ), .
මූලාශ්රය: www.habr.com