మునుపటి కథనాలలో, మేము ఎల్క్ స్టాక్ మరియు లాగ్ పార్సర్ కోసం లాగ్స్టాష్ కాన్ఫిగరేషన్ ఫైల్ను సెటప్ చేయడం గురించి కొంచెం పరిచయం చేసాము. ఈ కథనంలో, మీరు ఏమి చేయాలనుకుంటున్నారో విశ్లేషణాత్మక కోణం నుండి మేము చాలా ముఖ్యమైన విషయానికి వెళ్తాము. సిస్టమ్ నుండి చూడండి మరియు ప్రతిదీ దేని కోసం సృష్టించబడింది - ఇవి గ్రాఫ్లు మరియు పట్టికలు కలిపి ఉంటాయి డాష్బోర్డ్లు. ఈ రోజు మనం విజువలైజేషన్ సిస్టమ్ను నిశితంగా పరిశీలిస్తాము Kibana, మేము గ్రాఫ్లు మరియు పట్టికలను ఎలా సృష్టించాలో పరిశీలిస్తాము మరియు ఫలితంగా మేము చెక్ పాయింట్ ఫైర్వాల్ నుండి లాగ్ల ఆధారంగా ఒక సాధారణ డాష్బోర్డ్ను రూపొందిస్తాము.
కిబానాతో పని చేయడంలో మొదటి దశ సృష్టించడం సూచిక నమూనా, తార్కికంగా, ఇది ఒక నిర్దిష్ట సూత్రం ప్రకారం ఏకీకృతమైన సూచికల ఆధారం. వాస్తవానికి, ఇది పూర్తిగా కిబానాను ఒకే సమయంలో అన్ని ఇండెక్స్లలో సమాచారాన్ని మరింత సౌకర్యవంతంగా శోధించేలా చేయడానికి ఒక సెట్టింగ్. ఇది స్ట్రింగ్తో సరిపోలడం ద్వారా సెట్ చేయబడింది, "చెక్పాయింట్-*" మరియు ఇండెక్స్ పేరు చెప్పండి. ఉదాహరణకు, “చెక్పాయింట్-2019.12.05” నమూనాకు సరిపోతుంది, కానీ “చెక్పాయింట్” ఇకపై ఉండదు. శోధనలో ఒకే సమయంలో వేర్వేరు ఇండెక్స్ నమూనాలపై సమాచారం కోసం శోధించడం అసాధ్యమని విడిగా పేర్కొనడం విలువ; కొద్దిసేపటి తర్వాత తదుపరి కథనాలలో API అభ్యర్థనలు ఇండెక్స్ పేరుతో లేదా కేవలం ఒకదాని ద్వారా చేయబడతాయని మేము చూస్తాము. నమూనా యొక్క పంక్తి, చిత్రం క్లిక్ చేయదగినది:
దీని తర్వాత, అన్ని లాగ్లు ఇండెక్స్ చేయబడి ఉన్నాయని మరియు సరైన పార్సర్ కాన్ఫిగర్ చేయబడిందని మేము డిస్కవర్ మెనులో తనిఖీ చేస్తాము. ఏదైనా అసమానతలు కనుగొనబడితే, ఉదాహరణకు, డేటా రకాన్ని స్ట్రింగ్ నుండి పూర్ణాంకానికి మార్చడం, మీరు లాగ్స్టాష్ కాన్ఫిగరేషన్ ఫైల్ను సవరించాలి, ఫలితంగా, కొత్త లాగ్లు సరిగ్గా వ్రాయబడతాయి. మార్పుకు ముందు పాత లాగ్లు కావలసిన రూపాన్ని తీసుకోవడానికి, రీఇండెక్సింగ్ ప్రక్రియ మాత్రమే సహాయపడుతుంది; తదుపరి కథనాలలో ఈ ఆపరేషన్ మరింత వివరంగా చర్చించబడుతుంది. ప్రతిదీ క్రమంలో ఉందని నిర్ధారించుకోండి, చిత్రం క్లిక్ చేయగలదు:
లాగ్లు స్థానంలో ఉన్నాయి, అంటే మేము డాష్బోర్డ్లను నిర్మించడం ప్రారంభించవచ్చు. భద్రతా ఉత్పత్తుల నుండి డ్యాష్బోర్డ్ల విశ్లేషణల ఆధారంగా, మీరు సంస్థలో సమాచార భద్రత స్థితిని అర్థం చేసుకోవచ్చు, ప్రస్తుత విధానంలో దుర్బలత్వాలను స్పష్టంగా చూడవచ్చు మరియు వాటిని తొలగించడానికి మార్గాలను అభివృద్ధి చేయవచ్చు. అనేక విజువలైజేషన్ సాధనాలను ఉపయోగించి చిన్న డ్యాష్బోర్డ్ను రూపొందిద్దాం. డాష్బోర్డ్ 5 భాగాలను కలిగి ఉంటుంది:
- బ్లేడ్ల ద్వారా మొత్తం లాగ్ల సంఖ్యను లెక్కించడానికి పట్టిక
- క్లిష్టమైన IPS సంతకాలపై పట్టిక
- ముప్పు నివారణ ఈవెంట్ల పై చార్ట్
- అత్యంత ప్రసిద్ధ సందర్శించిన సైట్ల చార్ట్
- అత్యంత ప్రమాదకరమైన అప్లికేషన్ల వినియోగంపై చార్ట్
విజువలైజేషన్ బొమ్మలను రూపొందించడానికి, మీరు మెనుకి వెళ్లాలి దృశ్యమానం, మరియు మేము నిర్మించాలనుకుంటున్న కావలసిన బొమ్మను ఎంచుకోండి! క్రమంలో వెళ్దాం.
బ్లేడ్ ద్వారా మొత్తం లాగ్ల సంఖ్యను లెక్కించడానికి పట్టిక
దీన్ని చేయడానికి, ఒక బొమ్మను ఎంచుకోండి డేటా టేబుల్, మేము గ్రాఫ్లను సృష్టించే పరికరాల్లోకి వస్తాము, ఎడమవైపు ఫిగర్ సెట్టింగులు ఉన్నాయి, కుడి వైపున ప్రస్తుత సెట్టింగ్లలో ఇది ఎలా కనిపిస్తుంది. మొదట, పూర్తయిన పట్టిక ఎలా ఉంటుందో నేను ప్రదర్శిస్తాను, ఆ తర్వాత మేము సెట్టింగుల ద్వారా వెళ్తాము, చిత్రం క్లిక్ చేయగలదు:
ఫిగర్ యొక్క మరింత వివరణాత్మక సెట్టింగ్లు, చిత్రం క్లిక్ చేయదగినది:
సెట్టింగ్స్ చూద్దాం.
ప్రారంభంలో కాన్ఫిగర్ చేయబడింది కొలమానాలు, ఇది అన్ని ఫీల్డ్లు సమగ్రపరచబడే విలువ. పత్రాల నుండి ఒక విధంగా లేదా మరొక విధంగా సేకరించిన విలువల ఆధారంగా కొలమానాలు లెక్కించబడతాయి. విలువలు సాధారణంగా నుండి సంగ్రహించబడతాయి పొలాలు పత్రం, కానీ స్క్రిప్ట్లను ఉపయోగించి కూడా రూపొందించవచ్చు. ఈ సందర్భంలో మేము ఉంచాము అగ్రిగేషన్: కౌంట్ (లాగ్ల మొత్తం సంఖ్య).
దీని తరువాత, మేము పట్టికను విభాగాలుగా (ఫీల్డ్లు) విభజిస్తాము, దీని ద్వారా మెట్రిక్ లెక్కించబడుతుంది. ఈ ఫంక్షన్ బకెట్స్ సెట్టింగ్ ద్వారా నిర్వహించబడుతుంది, ఇది 2 సెట్టింగ్ల ఎంపికలను కలిగి ఉంటుంది:
- వరుసలను విభజించండి - నిలువు వరుసలను జోడించడం మరియు తరువాత పట్టికను వరుసలుగా విభజించడం
- స్ప్లిట్ టేబుల్ - నిర్దిష్ట ఫీల్డ్ యొక్క విలువల ఆధారంగా అనేక పట్టికలుగా విభజించడం.
В బకెట్లు మీరు అనేక నిలువు వరుసలు లేదా పట్టికలను సృష్టించడానికి అనేక విభాగాలను జోడించవచ్చు, ఇక్కడ పరిమితులు తార్కికంగా ఉంటాయి. అగ్రిగేషన్లో, విభాగాలుగా విభజించడానికి ఏ పద్ధతిని ఉపయోగించాలో మీరు ఎంచుకోవచ్చు: ipv4 పరిధి, తేదీ పరిధి, నిబంధనలు మొదలైనవి. అత్యంత ఆసక్తికరమైన ఎంపిక ఖచ్చితంగా ఉంది నిబంధనలు и ముఖ్యమైన నిబంధనలు, విభాగాలుగా విభజించడం నిర్దిష్ట ఇండెక్స్ ఫీల్డ్ యొక్క విలువల ప్రకారం నిర్వహించబడుతుంది, వాటి మధ్య వ్యత్యాసం తిరిగి వచ్చిన విలువల సంఖ్య మరియు వాటి ప్రదర్శనలో ఉంటుంది. మేము పట్టికను బ్లేడ్ల పేరుతో విభజించాలనుకుంటున్నాము కాబట్టి, మేము ఫీల్డ్ను ఎంచుకుంటాము - ఉత్పత్తి.కీవర్డ్ మరియు పరిమాణాన్ని 25 రిటర్న్ విలువలకు సెట్ చేయండి.
స్ట్రింగ్లకు బదులుగా, సాగే శోధన 2 డేటా రకాలను ఉపయోగిస్తుంది - టెక్స్ట్ и కీవర్డ్. మీరు పూర్తి-వచన శోధనను నిర్వహించాలనుకుంటే, మీరు టెక్స్ట్ రకాన్ని ఉపయోగించాలి, మీ శోధన సేవను వ్రాసేటప్పుడు చాలా అనుకూలమైన విషయం, ఉదాహరణకు, నిర్దిష్ట ఫీల్డ్ విలువలో (టెక్స్ట్) ఒక పదం యొక్క ప్రస్తావన కోసం వెతుకుతుంది. మీకు ఖచ్చితమైన సరిపోలిక మాత్రమే కావాలంటే, మీరు కీవర్డ్ రకాన్ని ఉపయోగించాలి. అలాగే, సార్టింగ్ లేదా అగ్రిగేషన్ అవసరమయ్యే ఫీల్డ్ల కోసం కీవర్డ్ డేటా రకాన్ని ఉపయోగించాలి, అంటే మన విషయంలో.
ఫలితంగా, సాగే శోధన నిర్దిష్ట సమయానికి లాగ్ల సంఖ్యను గణిస్తుంది, ఉత్పత్తి ఫీల్డ్లోని విలువతో సమగ్రంగా ఉంటుంది. కస్టమ్ లేబుల్లో, మేము పట్టికలో ప్రదర్శించబడే నిలువు వరుస పేరును సెట్ చేస్తాము, మేము లాగ్లను సేకరించే సమయాన్ని సెట్ చేస్తాము, రెండరింగ్ ప్రారంభించండి - కిబానా సాగే శోధనకు అభ్యర్థనను పంపుతుంది, ప్రతిస్పందన కోసం వేచి ఉండి, ఆపై స్వీకరించిన డేటాను దృశ్యమానం చేస్తుంది. టేబుల్ సిద్ధంగా ఉంది!
ముప్పు నివారణ ఈవెంట్ల కోసం పై చార్ట్
పర్సంటేజీగా ఎన్ని రియాక్షన్స్ ఉంటాయనే సమాచారం ప్రత్యేక ఆసక్తిని కలిగిస్తుంది గుర్తించడం и నిరోధించడానికి ప్రస్తుత భద్రతా విధానంలో సమాచార భద్రతా సంఘటనలపై. ఈ పరిస్థితికి పై చార్ట్ బాగా పనిచేస్తుంది. విజువలైజ్లో ఎంచుకోండి - పై చార్ట్. మెట్రిక్లో కూడా మేము లాగ్ల సంఖ్య ద్వారా అగ్రిగేషన్ను సెట్ చేస్తాము. బకెట్లలో మేము నిబంధనలు => చర్యను ఉంచుతాము.
ప్రతిదీ సరిగ్గా ఉన్నట్లు అనిపిస్తుంది, కానీ ఫలితం అన్ని బ్లేడ్లకు విలువలను చూపుతుంది; మీరు ముప్పు నివారణ ఫ్రేమ్వర్క్లో పనిచేసే బ్లేడ్ల ద్వారా మాత్రమే ఫిల్టర్ చేయాలి. అందువల్ల, మేము దానిని ఖచ్చితంగా ఏర్పాటు చేస్తాము వడపోత సమాచార భద్రతా సంఘటనలకు బాధ్యత వహించే బ్లేడ్లపై మాత్రమే సమాచారం కోసం శోధించడానికి - ఉత్పత్తి: (“యాంటీ-బాట్” లేదా “కొత్త యాంటీ-వైరస్” లేదా “DDoS ప్రొటెక్టర్” లేదా “స్మార్ట్ డిఫెన్స్” లేదా “థ్రెట్ ఎమ్యులేషన్”). చిత్రం క్లిక్ చేయదగినది:
మరియు మరింత వివరణాత్మక సెట్టింగ్లు, చిత్రం క్లిక్ చేయగలదు:
IPS ఈవెంట్ టేబుల్
తర్వాత, బ్లేడ్లోని ఈవెంట్లను వీక్షించడం మరియు తనిఖీ చేయడం అనేది సమాచార భద్రత కోణం నుండి చాలా ముఖ్యమైనది. ఐపిఎస్ и థ్రెట్ ఎమ్యులేషన్, которые నిరోధించబడలేదు ప్రస్తుత విధానం, తదనంతరం సంతకాన్ని నిరోధించడానికి మార్చడానికి లేదా ట్రాఫిక్ చెల్లుబాటులో ఉంటే, సంతకాన్ని తనిఖీ చేయవద్దు. మేము అనేక నిలువు వరుసలను సృష్టించే ఏకైక తేడాతో మొదటి ఉదాహరణ వలె పట్టికను సృష్టిస్తాము: protections.keyword, severity.keyword, product.keyword, originsicname.keyword. సమాచార భద్రతా సంఘటనలకు బాధ్యత వహించే బ్లేడ్లపై మాత్రమే సమాచారం కోసం శోధించడానికి ఫిల్టర్ని సెటప్ చేయాలని నిర్ధారించుకోండి - ఉత్పత్తి: (“స్మార్ట్డిఫెన్స్” లేదా “థ్రెట్ ఎమ్యులేషన్”). చిత్రం క్లిక్ చేయదగినది:
మరింత వివరణాత్మక సెట్టింగ్లు, చిత్రం క్లిక్ చేయగలదు:
అత్యంత ప్రజాదరణ పొందిన సందర్శించిన సైట్ల కోసం చార్ట్లు
దీన్ని చేయడానికి, ఒక బొమ్మను సృష్టించండి - నిలువు పట్టీ. మేము గణన (Y అక్షం)ను మెట్రిక్గా కూడా ఉపయోగిస్తాము మరియు X అక్షంలో మేము సందర్శించిన సైట్ల పేరును విలువలుగా ఉపయోగిస్తాము - “appi_name”. ఇక్కడ ఒక చిన్న ఉపాయం ఉంది: మీరు ప్రస్తుత సంస్కరణలో సెట్టింగ్లను అమలు చేస్తే, అన్ని సైట్లు ఒకే రంగుతో చార్ట్లో గుర్తించబడతాయి, వాటిని బహుళ వర్ణంగా చేయడానికి మేము అదనపు సెట్టింగ్ని ఉపయోగిస్తాము - “స్ప్లిట్ సిరీస్”, ఇది ఎంచుకున్న ఫీల్డ్ని బట్టి, రెడీమేడ్ కాలమ్ని మరిన్ని విలువలుగా విభజించడానికి మిమ్మల్ని అనుమతిస్తుంది! ఈ విభజనను పేర్చబడిన మోడ్లోని విలువల ప్రకారం ఒక బహుళ-రంగు కాలమ్గా ఉపయోగించవచ్చు లేదా X అక్షంపై ఒక నిర్దిష్ట విలువ ప్రకారం అనేక నిలువు వరుసలను సృష్టించడానికి సాధారణ మోడ్లో ఉపయోగించవచ్చు. ఈ సందర్భంలో, ఇక్కడ మనం ఉపయోగిస్తాము X అక్షం వలె అదే విలువ, ఇది అన్ని నిలువు వరుసలను బహుళ-రంగులుగా మార్చడం సాధ్యం చేస్తుంది; అవి ఎగువ కుడి వైపున ఉన్న రంగులతో సూచించబడతాయి. ఫిల్టర్లో మేము సెట్ చేసాము - ఉత్పత్తి: “URL ఫిల్టరింగ్” సందర్శించిన సైట్లలో మాత్రమే సమాచారాన్ని చూడటానికి, చిత్రం క్లిక్ చేయగలదు:
సెట్టింగులు:
అత్యంత ప్రమాదకరమైన అనువర్తనాల ఉపయోగంపై రేఖాచిత్రం
దీన్ని చేయడానికి, ఒక బొమ్మను సృష్టించండి - నిలువు పట్టీ. మేము గణన (Y అక్షం)ను మెట్రిక్గా కూడా ఉపయోగిస్తాము మరియు X అక్షం మీద ఉపయోగించిన అప్లికేషన్ల పేరును ఉపయోగిస్తాము - “appi_name” విలువలుగా. అతి ముఖ్యమైనది ఫిల్టర్ సెట్టింగ్ - ఉత్పత్తి: “అప్లికేషన్ కంట్రోల్” మరియు యాప్_రిస్క్: (4 లేదా 5 లేదా 3 ) మరియు చర్య: “అంగీకరించు”. మేము అప్లికేషన్ కంట్రోల్ బ్లేడ్ ద్వారా లాగ్లను ఫిల్టర్ చేస్తాము, క్రిటికల్, హై, మీడియం రిస్క్ సైట్లుగా వర్గీకరించబడిన సైట్లను మాత్రమే తీసుకుంటాము మరియు ఈ సైట్లకు యాక్సెస్ అనుమతించబడితే మాత్రమే. చిత్రం క్లిక్ చేయదగినది:
సెట్టింగ్లు, క్లిక్ చేయదగినవి:
డాష్బోర్డ్
డాష్బోర్డ్లను వీక్షించడం మరియు సృష్టించడం అనేది ప్రత్యేక మెను ఐటెమ్లో ఉంది - డాష్బోర్డ్. ఇక్కడ ప్రతిదీ సులభం, కొత్త డాష్బోర్డ్ సృష్టించబడింది, దానికి విజువలైజేషన్ జోడించబడింది, దాని స్థానంలో ఉంచబడింది మరియు అంతే!
మేము డ్యాష్బోర్డ్ను సృష్టిస్తున్నాము, దీని ద్వారా మీరు సంస్థలోని సమాచార భద్రత యొక్క ప్రాథమిక పరిస్థితిని అర్థం చేసుకోవచ్చు, అయితే, చెక్ పాయింట్ స్థాయిలో మాత్రమే, చిత్రం క్లిక్ చేయగలదు:
ఈ గ్రాఫ్ల ఆధారంగా, ఫైర్వాల్లో ఏ క్లిష్టమైన సంతకాలు బ్లాక్ చేయబడవు, వినియోగదారులు ఎక్కడికి వెళతారు మరియు వారు ఉపయోగించే అత్యంత ప్రమాదకరమైన అప్లికేషన్లను మనం అర్థం చేసుకోవచ్చు.
తీర్మానం
మేము కిబానాలో ప్రాథమిక విజువలైజేషన్ సామర్థ్యాలను పరిశీలించాము మరియు డ్యాష్బోర్డ్ను నిర్మించాము, కానీ ఇది చిన్న భాగం మాత్రమే. ఇంకా కోర్సులో మేము మ్యాప్లను సెటప్ చేయడం, సాగే శోధన వ్యవస్థతో పని చేయడం, API అభ్యర్థనలు, ఆటోమేషన్ మరియు మరెన్నో గురించి ప్రత్యేకంగా చూస్తాము!
కాబట్టి చూస్తూ ఉండండి
మూలం: www.habr.com