1.ఎలాస్టిక్ స్టాక్: భద్రతా లాగ్‌ల విశ్లేషణ. పరిచయం

స్ప్లంక్ లాగింగ్ మరియు అనలిటిక్స్ సిస్టమ్ యొక్క రష్యాలో అమ్మకాల ముగింపుకు సంబంధించి, ప్రశ్న తలెత్తింది: ఈ పరిష్కారాన్ని దేనితో భర్తీ చేయవచ్చు? విభిన్న పరిష్కారాలతో నాకు పరిచయం ఉన్న సమయాన్ని గడిపిన తర్వాత, నేను నిజమైన మనిషి కోసం ఒక పరిష్కారంపై స్థిరపడ్డాను - "ELK స్టాక్". ఈ వ్యవస్థను సెటప్ చేయడానికి సమయం పడుతుంది, కానీ ఫలితంగా మీరు స్థితిని విశ్లేషించడానికి మరియు సంస్థలోని సమాచార భద్రతా సంఘటనలకు తక్షణమే ప్రతిస్పందించడానికి చాలా శక్తివంతమైన వ్యవస్థను పొందవచ్చు. ఈ కథనాల శ్రేణిలో, మేము ELK స్టాక్ యొక్క ప్రాథమిక (లేదా కాకపోవచ్చు) సామర్థ్యాలను పరిశీలిస్తాము, మీరు లాగ్‌లను ఎలా అన్వయించవచ్చు, గ్రాఫ్‌లు మరియు డాష్‌బోర్డ్‌లను ఎలా నిర్మించాలి మరియు లాగ్‌ల ఉదాహరణను ఉపయోగించి ఏ ఆసక్తికరమైన ఫంక్షన్‌లు చేయవచ్చు చెక్ పాయింట్ ఫైర్‌వాల్ లేదా OpenVas సెక్యూరిటీ స్కానర్. ప్రారంభించడానికి, అది ఏమిటో చూద్దాం - ELK స్టాక్ మరియు దానిలో ఏ భాగాలు ఉన్నాయి.

"ELK స్టాక్" మూడు ఓపెన్ సోర్స్ ప్రాజెక్ట్‌లకు సంక్షిప్త రూపం: Elasticsearch, Logstash и Kibana. అన్ని సంబంధిత ప్రాజెక్ట్‌లతో పాటు సాగే ద్వారా అభివృద్ధి చేయబడింది. సాగే శోధన అనేది మొత్తం సిస్టమ్ యొక్క ప్రధాన అంశం, ఇది డేటాబేస్, శోధన మరియు విశ్లేషణాత్మక వ్యవస్థ యొక్క విధులను మిళితం చేస్తుంది. లాగ్‌స్టాష్ అనేది సర్వర్-సైడ్ డేటా ప్రాసెసింగ్ పైప్‌లైన్, ఇది ఏకకాలంలో బహుళ మూలాల నుండి డేటాను స్వీకరించి, లాగ్‌ను అన్వయించి, ఆపై దానిని సాగే శోధన డేటాబేస్‌కు పంపుతుంది. Elasticsearchలో చార్ట్‌లు మరియు గ్రాఫ్‌లను ఉపయోగించి డేటాను దృశ్యమానం చేయడానికి Kibana వినియోగదారులను అనుమతిస్తుంది. మీరు కిబానా ద్వారా డేటాబేస్‌ను కూడా నిర్వహించవచ్చు. తరువాత, మేము ప్రతి వ్యవస్థను మరింత వివరంగా విడిగా పరిశీలిస్తాము.

Logstash

లాగ్‌స్టాష్ అనేది వివిధ మూలాల నుండి లాగ్ ఈవెంట్‌లను ప్రాసెస్ చేయడానికి ఒక యుటిలిటీ, దీనితో మీరు సందేశంలో ఫీల్డ్‌లు మరియు వాటి విలువలను ఎంచుకోవచ్చు మరియు మీరు డేటా ఫిల్టరింగ్ మరియు ఎడిటింగ్‌ను కూడా కాన్ఫిగర్ చేయవచ్చు. అన్ని అవకతవకల తర్వాత, లాగ్‌స్టాష్ ఈవెంట్‌లను తుది డేటా స్టోర్‌కు దారి మళ్లిస్తుంది. యుటిలిటీ కాన్ఫిగరేషన్ ఫైల్స్ ద్వారా మాత్రమే కాన్ఫిగర్ చేయబడింది.
ఒక సాధారణ లాగ్‌స్టాష్ కాన్ఫిగరేషన్ అనేది ఇన్‌కమింగ్ స్ట్రీమ్‌లు (ఇన్‌పుట్), ఈ సమాచారం కోసం అనేక ఫిల్టర్‌లు (ఫిల్టర్) మరియు అనేక అవుట్‌గోయింగ్ స్ట్రీమ్‌లు (అవుట్‌పుట్)తో కూడిన ఫైల్(లు). ఇది ఒకటి లేదా అంతకంటే ఎక్కువ కాన్ఫిగరేషన్ ఫైల్‌ల వలె కనిపిస్తుంది, ఇది సరళమైన సంస్కరణలో (ఏమీ చేయదు) ఇలా కనిపిస్తుంది:

input {
}

filter {
}

output {
}

INPUTలో మేము లాగ్‌లు ఏ పోర్ట్‌కి పంపబడతాయో మరియు ఏ ప్రోటోకాల్ ద్వారా లేదా ఏ ఫోల్డర్ నుండి కొత్త లేదా నిరంతరం నవీకరించబడిన ఫైల్‌లను చదవాలో కాన్ఫిగర్ చేస్తాము. FILTERలో మేము లాగ్ పార్సర్‌ను కాన్ఫిగర్ చేస్తాము: ఫీల్డ్‌లను అన్వయించడం, విలువలను సవరించడం, కొత్త పారామితులను జోడించడం లేదా వాటిని తొలగించడం. FILTER అనేది చాలా సవరణ ఎంపికలతో లాగ్‌స్టాష్‌కు వచ్చే సందేశాన్ని నిర్వహించడానికి ఫీల్డ్. అవుట్‌పుట్‌లో మేము ఇప్పటికే అన్వయించబడిన లాగ్‌ను ఎక్కడ పంపాలో కాన్ఫిగర్ చేస్తాము, ఒకవేళ అది సాగే శోధన అయితే JSON అభ్యర్థన పంపబడుతుంది, దీనిలో విలువలతో కూడిన ఫీల్డ్‌లు పంపబడతాయి లేదా డీబగ్‌లో భాగంగా దాన్ని stdoutకి అవుట్‌పుట్ చేయవచ్చు లేదా ఫైల్‌కు వ్రాయవచ్చు.

Elasticsearch

మొదట్లో, సాగే శోధన అనేది పూర్తి-వచన శోధనకు ఒక పరిష్కారం, అయితే సులభమైన స్కేలింగ్, రెప్లికేషన్ మరియు ఇతర విషయాల వంటి అదనపు సౌకర్యాలతో, ఉత్పత్తిని చాలా సౌకర్యవంతంగా మరియు అధిక పరిమాణాల డేటాతో అధిక-లోడ్ ప్రాజెక్ట్‌లకు మంచి పరిష్కారంగా చేసింది. సాగే శోధన అనేది నాన్-రిలేషనల్ (NoSQL) JSON డాక్యుమెంట్ స్టోర్ మరియు లూసీన్ పూర్తి-వచన శోధన ఆధారంగా శోధన ఇంజిన్. హార్డ్‌వేర్ ప్లాట్‌ఫారమ్ జావా వర్చువల్ మెషిన్, కాబట్టి సిస్టమ్ ఆపరేట్ చేయడానికి పెద్ద మొత్తంలో ప్రాసెసర్ మరియు RAM వనరులు అవసరం.
ప్రతి ఇన్‌కమింగ్ సందేశం, లాగ్‌స్టాష్‌తో లేదా క్వెరీ APIని ఉపయోగించి, "పత్రం"గా సూచిక చేయబడుతుంది - రిలేషనల్ SQLలోని పట్టికకు సారూప్యంగా ఉంటుంది. అన్ని పత్రాలు సూచికలో నిల్వ చేయబడతాయి - SQLలో డేటాబేస్ యొక్క అనలాగ్.

డేటాబేస్లో డాక్యుమెంట్ యొక్క ఉదాహరణ:

{
  "_index": "checkpoint-2019.10.10",
  "_type": "_doc",
  "_id": "yvNZcWwBygXz5W1aycBy",
  "_version": 1,
  "_score": null,
  "_source": {
	"layer_uuid": [
      "dae7f01c-4c98-4c3a-a643-bfbb8fcf40f0",
      "dbee3718-cf2f-4de0-8681-529cb75be9a6"
	],
	"outzone": "External",
	"layer_name": [
  	"TSS-Standard Security",
  	"TSS-Standard Application"
	],
	"time": "1565269565",
	"dst": "103.5.198.210",
	"parent_rule": "0",
	"host": "10.10.10.250",
	"ifname": "eth6",
    ]
}

డేటాబేస్‌తో అన్ని పని REST APIని ఉపయోగించి JSON అభ్యర్థనలపై ఆధారపడి ఉంటుంది, ఇది ఇండెక్స్ ద్వారా పత్రాలను లేదా ఫార్మాట్‌లో కొన్ని గణాంకాలను ఉత్పత్తి చేస్తుంది: ప్రశ్న - సమాధానం. అభ్యర్థనలకు అన్ని ప్రతిస్పందనలను దృశ్యమానం చేయడానికి, కిబానా వ్రాయబడింది, ఇది ఒక వెబ్ సేవ.

Kibana

Kibana మీరు elasticsearch డేటాబేస్ నుండి శోధించడానికి, డేటాను మరియు ప్రశ్న గణాంకాలను తిరిగి పొందడానికి అనుమతిస్తుంది, అయితే సమాధానాల ఆధారంగా అనేక అందమైన గ్రాఫ్‌లు మరియు డ్యాష్‌బోర్డ్‌లు నిర్మించబడ్డాయి. సిస్టమ్ సాగే శోధన డేటాబేస్ అడ్మినిస్ట్రేషన్ కార్యాచరణను కూడా కలిగి ఉంది; తదుపరి కథనాలలో మేము ఈ సేవను మరింత వివరంగా పరిశీలిస్తాము. ఇప్పుడు చెక్ పాయింట్ ఫైర్‌వాల్ మరియు ఓపెన్‌వాస్ వల్నరబిలిటీ స్కానర్ కోసం డాష్‌బోర్డ్‌ల ఉదాహరణను చూపుదాం.

చెక్ పాయింట్ కోసం డ్యాష్‌బోర్డ్ యొక్క ఉదాహరణ, చిత్రం క్లిక్ చేయదగినది:

OpenVas కోసం డాష్‌బోర్డ్ యొక్క ఉదాహరణ, చిత్రం క్లిక్ చేయదగినది:

తీర్మానం

ఇది ఏమి కలిగి ఉందో మేము చూశాము ELK స్టాక్, మేము ప్రధాన ఉత్పత్తులతో కొంచెం పరిచయం కలిగి ఉన్నాము, తరువాత కోర్సులో మేము విడిగా లాగ్‌స్టాష్ కాన్ఫిగరేషన్ ఫైల్‌ను వ్రాయడం, కిబానాలో డాష్‌బోర్డ్‌లను సెటప్ చేయడం, API అభ్యర్థనలు, ఆటోమేషన్ మరియు మరెన్నో గురించి తెలుసుకోవడం గురించి పరిశీలిస్తాము!

కాబట్టి చూస్తూ ఉండండిTelegram, <span style="font-family: Mandali; ">ఫేస్‌బుక్ </span>, VK, TS సొల్యూషన్ బ్లాగ్), యాండెక్స్ జెన్.

మూలం: www.habr.com