Muzvinyorwa zvakapfuura, takaziva zvishoma nezve elk stack uye kumisikidza iyo Logstash configuration faira yeiyo log parser.Muchinyorwa chino, tichaenda kune chinonyanya kukosha kubva pane yekuongorora maonero, izvo zvaunoda kuita. ona kubva kuhurongwa uye izvo zvese zvakasikirwa - aya magirafu nematafura akasanganiswa kuita dashboards. Nhasi tichanyatso tarisa maitiro ekuona kibana, tichatarisa maitiro ekugadzira magirafu nematafura, uye semugumisiro tichavaka dashboard iri nyore inobva pamatanda kubva kuCheck Point firewall.
Nhanho yekutanga mukushanda ne kibana kugadzira index pattern, zvine musoro, ichi ndicho hwaro hwema indexes akabatana maererano neimwe nheyo. Ehe, uku kungoita kuti Kibana awedzere nyore kutsvaga ruzivo kune ese ma indexes panguva imwe chete. Inoiswa nekufananidza tambo, iti "checkpoint-*" uye zita reindex. Semuenzaniso, "checkpoint-2019.12.05" yaizokwana patani, asi kungoti "checkpoint" haipo. Zvakakodzera kuti titaure zvakasiyana kuti mukutsvaga hazvibviri kutsvaga ruzivo pane akasiyana index mapatani panguva imwe chete; zvishoma gare gare mune zvinotevera zvinyorwa tichaona kuti zvikumbiro zveAPI zvinoitwa kana nezita reindex, kana chete neimwe. mutsara wepateni, mufananidzo wacho unodzvanywa:
Mushure meizvi, tinotarisa muDiscover menyu kuti matanda ese akaiswa indexed uye iyo chaiyo parser inogadziriswa. Kana chero kusawirirana kunowanikwa, semuenzaniso, kushandura rudzi rwe data kubva kune tambo kusvika kune integer, unoda kugadzirisa Logstash configuration file, semugumisiro, zvinyorwa zvitsva zvichanyorwa zvakarurama. Kuti matanda ekare atore fomu yaidiwa isati yachinja, chete iyo reindexing process inobatsira; muzvinyorwa zvinotevera oparesheni iyi ichakurukurwa zvakadzama. Ngative nechokwadi chekuti zvese zvakarongeka, mufananidzo wacho unodzvanywa:
Matanda aripo, zvinoreva kuti tinogona kutanga kuvaka dashboards. Zvichienderana nekuongororwa kwedashboards kubva kune zvigadzirwa zvekuchengetedza, unogona kunzwisisa mamiriro ekuchengetedza ruzivo musangano, kunyatsoona kusasimba mugwaro razvino, uye wozogadzira nzira dzekuzvibvisa. Ngativake dashboard diki tichishandisa akati wandei maturusi ekuona. Dashboard ichave nezvikamu zvishanu:
- tafura yekuverenga huwandu hwehuwandu hwematanda nemashizha
- таблицу по критическим сигнатурам IPS
- pie chati ye Threat Prevention zviitiko
- chati yenzvimbo dzinonyanya kufarirwa dzakashanyirwa
- chati pamusoro pekushandiswa kwezvikumbiro zvine ngozi
Для создания фигур визуализации, нужно перейти в меню Ita mupfungwa, uye sarudza mufananidzo waunoda watinoda kuvaka! Handei muhurongwa.
Tafura yekuverenga nhamba yese yematanda nebadza
Для этого выберем фигуру Dhata Tafura, tinowira mumichina yekugadzira magirafu, kuruboshwe kune zvigadziro zvemufananidzo, kurudyi ndiko kuti ichaita sei mumamiriro ezvino. Kutanga, ini ndicharatidza kuti tafura yakapedzwa ichaita sei, mushure mezvo tichapfuura nemasetirwo, iyo pikicha inodzvanywa:
Mamwe akadzama marongero echifananidzo, mufananidzo unodzvanywa:
Разберем настройки.
Первоначально настраивается metrics, это значение, по которому будут агрегироваться все поля. Метрики вычисляются на основе значений, извлеченных тем или иным способом из документов. Значения обычно извлекаются из minda документа, но также могут быть сгенерированы с использованием скриптов. В данном случае ставим в Aggregation: Count (nhamba yese yematanda).
Mushure meizvi, tinoparadzanisa tafura muzvikamu (minda) iyo metric ichaverengwa nayo. Iri basa rinoitwa neBuckets kugadzika, iro rinosanganisira 2 zvigadziriso sarudzo:
- kupatsanura mitsara - kuwedzera makoramu uye wozogovera tafura mumitsara
- kupatsanura tafura - kupatsanura kuita akati wandei matafura zvichienderana nehunhu hweimwe munda.
В mabhakti unogona kuwedzera zvikamu zvakati kuti kugadzira makoramu akati wandei kana matafura, zvinorambidzwa pano zvine musoro. Mukuunganidza, unogona kusarudza kuti ndeipi nzira ichashandiswa kupatsanura muzvikamu: ipv4 renji, zuva renji, Matemu, nezvimwe. Chisarudzo chinonyanya kufadza ndicho chaicho Terms и Mitemo Yakakosha, деление на сегменты производится по значениям определенного поля индекса, разница между ними заключается в количестве возвращаемых значений, и их отображение. Так как мы хотим поделить таблицу по названию блейдов, выбираем поле — product.keyword и задаем размер в количестве 25 возвращаемых значений.
Panzvimbo petambo, elasticsearch inoshandisa 2 data mhando - chinyorwa и guru. Kana iwe uchida kuita tsvakurudzo yakazara-mavara, unofanira kushandisa rudzi rwemavara, chinhu chakanyanya kunaka paunenge uchinyora basa rako rekutsvaga, somuenzaniso, kutsvaga kutaurwa kweshoko mune imwe nzvimbo inokosha (chinyorwa). Kana iwe uchingoda iwo chaiwo match, iwe unofanirwa kushandisa keyword type. Zvakare, iyo keyword data type inofanirwa kushandiswa kuminda inoda kurongedza kana kuunganidza, ndiko kuti, kwatiri.
Nekuda kweizvozvo, Elasticsearch inoverenga huwandu hwematanda kune imwe nguva, yakaunganidzwa nekukosha mumunda wechigadzirwa. MuCustom Label, tinoisa zita rekoramu iyo icharatidzwa mutafura, isa nguva yatinounganidza matanda, tanga kupa - Kibana anotumira chikumbiro kune elasticsearch, anomirira mhinduro uye ozoona data yakagamuchirwa. Tafura yakagadzirira!
Pai chati yeZviitiko Kudzivirira Kutyisidzira
Chinonyanya kufarirwa iruzivo rwekuti vangani maitiro aripo sechikamu ona и kudzivirira pamusoro pezviitiko zvekuchengetedza ruzivo mune yazvino chengetedzo mutemo. Pie chati inoshanda zvakanaka kune iyi mamiriro. Sarudza mune Visualize - Chati pie. Также в метрике задаем агрегацию по количеству логов. В buckets ставим Terms => action.
Вроде все правильно, но в результате показываются значения по всем блейдам, нужно отфильтровать только по тем блейдам, которые работают в рамках Threat Prevention. Поэтому обязательно настраиваем kuchutera kuitira kutsvaga ruzivo chete pamablades ane chekuita nezviitiko zvekuchengetedza ruzivo - chigadzirwa: (“Anti-Bot” KANA “New Anti-Virus” KANA “DDoS Dziviriro” KANA “SmartDefense” KANA “Kutyisidzira Emulation”). Mufananidzo wacho unodzvanya:
Uye mamwe akadzama marongero, mufananidzo wacho unodzvanywa:
IPS Chiitiko Tafura
Tevere, zvakakosha zvakanyanya kubva kune ruzivo rwekuchengetedza nzvimbo yekuona kutarisa uye kutarisa zviitiko pane blade. IPS и Kutyisidzira Emulation, которые haana kuvharwa mutemo wazvino, kuitira kuti ugozochinja siginecha kudzivirira, kana kana traffic iriko, usatarise siginicha. Isu tinogadzira tafura nenzira yakafanana neyekutanga muenzaniso, nemusiyano chete watinogadzira makoramu akawanda: protections.keyword, severity.keyword, product.keyword, originsicname.keyword. Ita shuwa yekumisikidza sefa kuti utsvage ruzivo chete pamablades ane chekuita nezviitiko zvekuchengetedza ruzivo - chigadzirwa: ("SmartDefense" KANA "Threat Emulation"). Mufananidzo wacho unodzvanya:
Mamwe akadzama marongero, mufananidzo wacho unodzvanywa:
Диаграммы по наиболее популярным посещаемым сайтам
Kuti uite izvi, gadzira mufananidzo - Vertical Bar. Метрику также используем count (ось Y), а на оси X в качестве значений будем использовать название посещенных сайтов — “appi_name”. Тут есть небольшая хитрость, если запустить настройки в текущем варианте, то все сайты будут отмечаться на графике одним цветом, для того чтобы сделать их разноцветными используем дополнительную настройку — “split series”, которая позволяет делить уже готовую колонну на еще несколько значений, в зависимости от выбранного поля конечно! Это самое деление можно либо использовать как одна разноцветная колонна по значениям в режиме stacked, либо в режиме normal для того чтобы создать несколько колонн по определенному значения с оси X. В данном случае здесь мы используем то же значение, что и по оси X, это дает возможность сделать все колонки разноцветными, справа сверху они будут обозначаться цветами. В фильтре задаем — product:«URL Filtering» для того, чтобы увидеть информацию только по посещенным сайтам, картинка кликабельна:
Zvirongwa:
Dhiagiramu pamusoro pekushandiswa kweakanyanya njodzi maapplication
Kuti uite izvi, gadzira mufananidzo - Vertical Bar. Isu tinoshandisawo kuverenga (Y axis) semetric, uye pa X axis tichashandisa zita remashandisirwo anoshandiswa - "appi_name" sezvinokosha. Chinonyanya kukosha ndechekuseta - chigadzirwa: "Application Control" UYE app_risk: (4 OR 5 OR 3 ) UYE chiito: "gashira". Isu tinosefa matanda neChishandiso chekudzora blade, tichitora chete iwo masaiti akaiswa muchikamu seYakakosha, Yakakwirira, Yepakati njodzi nzvimbo uye chete kana kupinda kune aya masaiti kuchibvumidzwa. Mufananidzo wacho unodzvanya:
Settings, inodzvanya:
Dashboard
Kuona nekugadzira madhibhodhi ari mune yakaparadzana menyu chinhu - Dashboard. Zvese zviri nyore pano, dashboard nyowani inogadzirwa, kuona kunowedzerwa kwairi, kuiswa munzvimbo yayo uye ndizvozvo!
Isu tiri kugadzira dashboard iyo iwe yaunogona kunzwisisa mamiriro ekutanga emamiriro ekuchengetedza ruzivo musangano, hongu, chete paCheck Point level, iyo pikicha inodzvanywa:
Zvichienderana nemagirafu aya, tinogona kunzwisisa kuti ndeapi masiginecha akakosha asina kuvharwa pafirewall, uko vashandisi vanoenda, uye ndeapi maapplication ane njodzi avanoshandisa.
mhedziso
Takatarisa kugona kwekutanga kuona muKibana uye takavaka dashboard, asi ichi chingori chikamu chidiki. Kupfuurirazve mukosi isu tichaona zvakasiyana kumisikidza mepu, kushanda neiyo elasticsearch system, kujairana nezvikumbiro zveAPI, otomatiki uye zvimwe zvakawanda!
Saka gara wakatarisa (, , , ), .
Source: www.habr.com