Дар робита ба анҷоми фурӯши системаи логгинг ва таҳлили Splunk дар Русия саволе ба миён омад: ин ҳалли худро бо чӣ иваз карда метавонад? Пас аз он ки вақтро барои шинос шудан бо роҳҳои гуногун сарф кардам, ман ба ҳалли як марди воқеӣ қарор додам - "Стек ELK". Барои насб кардани ин система вақт лозим аст, аммо дар натиҷа шумо метавонед як системаи хеле пуриқтидор барои таҳлили вазъ ва вокуниши фаврӣ ба ҳодисаҳои амнияти иттилоотӣ дар созмон ба даст оред. Дар ин силсилаи мақолаҳо, мо имкониятҳои асосии (ё шояд не)-и стеки ELK-ро дида мебароем, дида мебароем, ки чӣ гуна шумо метавонед гузоришҳоро таҳлил кунед, чӣ гуна графикҳо ва панелҳои идоракуниро сохтан мумкин аст ва бо истифода аз мисоли гузоришҳо кадом вазифаҳои ҷолибро иҷро кардан мумкин аст. девори Check Point ё сканери амнияти OpenVas. Барои оғоз, биёед бубинем, ки он чист - стек ELK ва аз кадом ҷузъҳо иборат аст.
"Стек ELK" Ихтисороти се лоиҳаи кушодаасос аст: Ҷустуҷӯи Elastics, Logstash и Кибана. Аз ҷониби Elastic дар якҷоягӣ бо ҳама лоиҳаҳои алоқаманд таҳия шудааст. Elasticsearch асосии тамоми система мебошад, ки вазифаҳои пойгоҳи додаҳо, системаи ҷустуҷӯӣ ва таҳлилиро муттаҳид мекунад. Logstash як лӯлаи коркарди додаҳои сервер мебошад, ки дар як вақт маълумотро аз якчанд манбаъҳо қабул мекунад, гузоришро таҳлил мекунад ва сипас онро ба пойгоҳи додаҳои Elasticsearch мефиристад. Кибана ба корбарон имкон медиҳад, ки маълумотро бо истифода аз диаграммаҳо ва графикҳо дар Elasticsearch тасаввур кунанд. Шумо инчунин метавонед пойгоҳи додаҳоро тавассути Kibana идора кунед. Минбаъд, мо ҳар як системаро алоҳида ба таври муфассал баррасӣ хоҳем кард.
Logstash
Logstash як утилитаест барои коркарди рӯйдодҳои гузориш аз сарчашмаҳои гуногун, ки шумо метавонед майдонҳо ва арзишҳои онҳоро дар паём интихоб кунед ва инчунин метавонед филтр ва таҳрири маълумотро танзим кунед. Пас аз ҳама амалҳо, Logstash рӯйдодҳоро ба анбори ниҳоии маълумот равона мекунад. Утилита танҳо тавассути файлҳои конфигуратсия танзим карда мешавад.
Конфигуратсияи маъмулии logstash ин файл(ҳо) мебошад, ки аз якчанд ҷараёнҳои воридотии иттилоот (ворид), якчанд филтрҳо барои ин маълумот (филтр) ва якчанд ҷараёнҳои содиротӣ (баромад) иборатанд. Он ба як ё якчанд файлҳои конфигуратсия монанд аст, ки дар версияи соддатарин (ки умуман ҳеҷ чиз намекунад) чунин менамояд:
input {
}
filter {
}
output {
}
Дар INPUT мо танзим мекунем, ки гузоришҳо ба кадом порт ва тавассути кадом протокол фиристода мешаванд ё аз кадом ҷузвдон барои хондани файлҳои нав ё доимо навшаванда. Дар FILTER мо таҳлилгари гузоришро танзим мекунем: таҳлили майдонҳо, таҳрири арзишҳо, илова кардани параметрҳои нав ё нест кардани онҳо. ФИЛТР майдонест барои идоракунии паёме, ки ба Logstash бо имконоти зиёди таҳрир меояд. Дар баромад мо ба куҷо фиристодани гузориши аллакай таҳлилшударо танзим мекунем, агар он elasticsearch бошад, дархости JSON фиристода мешавад, ки дар он майдонҳо бо арзишҳо фиристода мешаванд ё ҳамчун як қисми дебаг он метавонад ба stdout бароварда шавад ё ба файл навишта шавад.
ElasticSearch
Дар аввал, Elasticsearch як ҳалли ҷустуҷӯи пурраи матн аст, аммо бо имконоти иловагӣ, аз қабили миқёси осон, такрорӣ ва чизҳои дигар, ки маҳсулотро хеле қулай ва ҳалли хуб барои лоиҳаҳои сербориш бо ҳаҷми зиёди маълумот гардонд. Elasticsearch як мағозаи ҳуҷҷатҳои JSON (NoSQL) ва муҳаррики ҷустуҷӯ дар асоси ҷустуҷӯи пурраи матнии Lucene мебошад. Платформаи сахтафзор Java Virtual Machine мебошад, аз ин рӯ система барои кор миқдори зиёди захираҳои протсессор ва RAM-ро талаб мекунад.
Ҳар як паёми воридотӣ, ё бо Logstash ё бо истифода аз дархости API, ҳамчун "ҳуҷҷат" индексатсия карда мешавад - шабеҳи ҷадвал дар SQL релятсионӣ. Ҳама ҳуҷҷатҳо дар индекс нигоҳ дошта мешаванд - аналоги пойгоҳи додаҳо дар SQL.
Намунаи ҳуҷҷат дар базаи маълумот:
{
"_index": "checkpoint-2019.10.10",
"_type": "_doc",
"_id": "yvNZcWwBygXz5W1aycBy",
"_version": 1,
"_score": null,
"_source": {
"layer_uuid": [
"dae7f01c-4c98-4c3a-a643-bfbb8fcf40f0",
"dbee3718-cf2f-4de0-8681-529cb75be9a6"
],
"outzone": "External",
"layer_name": [
"TSS-Standard Security",
"TSS-Standard Application"
],
"time": "1565269565",
"dst": "103.5.198.210",
"parent_rule": "0",
"host": "10.10.10.250",
"ifname": "eth6",
]
}
Ҳама корҳо бо пойгоҳи додаҳо ба дархостҳои JSON бо истифода аз REST API асос ёфтаанд, ки онҳо ё ҳуҷҷатҳоро аз рӯи индекс ё баъзе оморҳоро дар формати зерин таҳия мекунанд: савол - ҷавоб. Барои дидани ҳама ҷавобҳо ба дархостҳо, Кибана навишта шудааст, ки хидмати веб аст.
Кибана
Kibana ба шумо имкон медиҳад, ки аз пойгоҳи додаҳои elasticsearch ҷустуҷӯ, дарёфти маълумот ва дархости омориро гиред, аммо дар асоси ҷавобҳо бисёр графикҳо ва панелҳои зебо сохта шудаанд. Система инчунин функсияи идоракунии пойгоҳи додаҳои elasticsearch дорад; дар мақолаҳои минбаъда мо ин хидматро муфассалтар дида мебароем. Акнун биёед як мисоли панелҳои идоракуниро барои девори Check Point ва сканери осебпазирии OpenVas, ки сохтан мумкин аст, нишон диҳем.
Намунаи панели идоракунӣ барои Check Point, тасвирро клик кардан мумкин аст:
Намунаи панели идоракунӣ барои OpenVas, тасвирро клик кардан мумкин аст:
хулоса
Мо дида баромадем, ки он аз чӣ иборат аст Стейки ELK, мо бо маҳсулоти асосӣ каме шинос шудем, баъдтар дар курс мо алоҳида навиштани файли конфигуратсияи Logstash, насб кардани панелҳои идоракунӣ дар Kibana, шиносоӣ бо дархостҳои API, автоматизатсия ва ғайраро баррасӣ хоҳем кард!
Пас бохабар монед, , , ), .
Манбаъ: will.com