Ni asopọ pẹlu opin awọn tita ni Russia ti Slunk gedu ati eto atupale, ibeere naa dide: kini o le rọpo ojutu yii pẹlu? Lẹhin lilo akoko mimọ ara mi pẹlu awọn solusan oriṣiriṣi, Mo yanju lori ojutu kan fun ọkunrin gidi kan - "ELK akopọ". Eto yii gba akoko lati ṣeto, ṣugbọn bi abajade o le gba eto ti o lagbara pupọ fun itupalẹ ipo naa ati idahun ni kiakia si awọn iṣẹlẹ aabo alaye ninu ajo naa. Ninu jara ti awọn nkan yii, a yoo wo awọn agbara ipilẹ (tabi boya kii ṣe) awọn agbara ti akopọ ELK, ronu bii o ṣe le ṣe itupalẹ awọn iwe, bii o ṣe le kọ awọn aworan ati awọn dasibodu, ati kini awọn iṣẹ iyanilenu le ṣee ṣe nipa lilo apẹẹrẹ ti awọn akọọlẹ lati awọn Ṣayẹwo Point ogiriina tabi awọn OpenVas aabo scanner. Lati bẹrẹ pẹlu, jẹ ki a wo kini o jẹ - akopọ ELK, ati kini awọn paati ti o ni ninu.
"ELK akopọ" jẹ adape fun awọn iṣẹ akanṣe orisun ṣiṣi mẹta: Elasticsearch, Logstash и agbana. Ni idagbasoke nipasẹ Rirọ pẹlu gbogbo awọn iṣẹ akanṣe. Elasticsearch jẹ ipilẹ ti gbogbo eto, eyiti o dapọ awọn iṣẹ ti data data, wiwa ati eto itupalẹ. Logstash jẹ opo gigun ti epo sisẹ data ẹgbẹ olupin ti o gba data lati awọn orisun lọpọlọpọ nigbakanna, ṣe atunto log naa, lẹhinna firanṣẹ si ibi ipamọ data Elasticsearch kan. Kibana gba awọn olumulo laaye lati wo data nipa lilo awọn shatti ati awọn aworan ni Elasticsearch. O tun le ṣakoso data data nipasẹ Kibana. Nigbamii ti, a yoo ro eto kọọkan lọtọ ni awọn alaye diẹ sii.
Logstash
Logstash jẹ ohun elo fun ṣiṣe awọn iṣẹlẹ log lati oriṣiriṣi awọn orisun, pẹlu eyiti o le yan awọn aaye ati awọn iye wọn ninu ifiranṣẹ kan, ati pe o tun le tunto sisẹ data ati ṣiṣatunṣe. Lẹhin gbogbo awọn ifọwọyi, Logstash tun awọn iṣẹlẹ lọ si ile itaja data ikẹhin. IwUlO jẹ tunto nipasẹ awọn faili iṣeto ni nikan.
Iṣeto logstash aṣoju jẹ faili (awọn) ti o ni ọpọlọpọ awọn ṣiṣan alaye ti nwọle (titẹwọle), ọpọlọpọ awọn asẹ fun alaye yii (àlẹmọ) ati ọpọlọpọ awọn ṣiṣan ti njade (jade). O dabi ọkan tabi diẹ sii awọn faili iṣeto ni, eyiti o wa ninu ẹya ti o rọrun julọ (eyiti ko ṣe nkankan rara) dabi eyi:
input {
}
filter {
}
output {
}
Ni INPUT a tunto iru ibudo awọn igbasilẹ yoo firanṣẹ si ati nipasẹ ilana wo, tabi lati inu folda wo lati ka awọn faili tuntun tabi imudojuiwọn nigbagbogbo. Ni FILTER a tunto parser log: awọn aaye ti n ṣatunwo, awọn iye ṣiṣatunṣe, ṣafikun awọn aye tuntun tabi piparẹ wọn. FILTER jẹ aaye fun ṣiṣakoso ifiranṣẹ ti o wa si Logstash pẹlu ọpọlọpọ awọn aṣayan ṣiṣatunṣe. Ninu iṣelọpọ a tunto ibiti a ti firanṣẹ iwe-itumọ tẹlẹ, ti o ba jẹ elasticsearch ibeere JSON kan ti firanṣẹ ninu eyiti awọn aaye pẹlu awọn iye ti firanṣẹ, tabi gẹgẹ bi apakan ti yokokoro o le ṣejade si stdout tabi kọ si faili kan.
ElasticSearch
Ni ibẹrẹ, Elasticsearch jẹ ojutu kan fun wiwa ọrọ-kikun, ṣugbọn pẹlu awọn ohun elo afikun bii iwọn irọrun, atunkọ ati awọn ohun miiran, eyiti o jẹ ki ọja naa rọrun pupọ ati ojutu ti o dara fun awọn iṣẹ akanṣe giga-giga pẹlu awọn iwọn nla ti data. Elasticsearch jẹ ile itaja iwe aṣẹ JSON ti kii ṣe ibatan (NoSQL) ati ẹrọ wiwa ti o da lori wiwa ọrọ-kikun Lucene. Syeed ohun elo jẹ Ẹrọ foju Java, nitorinaa eto naa nilo iye nla ti ero isise ati awọn orisun Ramu lati ṣiṣẹ.
Ifiranṣẹ kọọkan ti nwọle, boya pẹlu Logstash tabi lilo API ibeere, jẹ itọka bi “iwe-ipamọ” - afiwe si tabili ni SQL ibatan. Gbogbo awọn iwe aṣẹ ti wa ni ipamọ sinu atọka - afọwọṣe ti database ni SQL.
Apẹẹrẹ ti iwe-ipamọ kan ninu aaye data:
{
"_index": "checkpoint-2019.10.10",
"_type": "_doc",
"_id": "yvNZcWwBygXz5W1aycBy",
"_version": 1,
"_score": null,
"_source": {
"layer_uuid": [
"dae7f01c-4c98-4c3a-a643-bfbb8fcf40f0",
"dbee3718-cf2f-4de0-8681-529cb75be9a6"
],
"outzone": "External",
"layer_name": [
"TSS-Standard Security",
"TSS-Standard Application"
],
"time": "1565269565",
"dst": "103.5.198.210",
"parent_rule": "0",
"host": "10.10.10.250",
"ifname": "eth6",
]
}
Gbogbo iṣẹ pẹlu ibi ipamọ data da lori awọn ibeere JSON nipa lilo API REST, eyiti o ṣe awọn iwe aṣẹ nipasẹ atọka tabi diẹ ninu awọn iṣiro ni ọna kika: ibeere - idahun. Lati le foju inu wo gbogbo awọn idahun si awọn ibeere, Kibana ti kọ, eyiti o jẹ iṣẹ wẹẹbu kan.
agbana
Kibana gba ọ laaye lati wa, gba data pada ati awọn iṣiro ibeere lati ibi ipamọ data elasticsearch, ṣugbọn ọpọlọpọ awọn aworan ti o lẹwa ati dashboards ti wa ni itumọ ti o da lori awọn idahun. Eto naa tun ni iṣẹ ṣiṣe iṣakoso data elasticsearch; ninu awọn nkan atẹle a yoo wo iṣẹ yii ni awọn alaye diẹ sii. Bayi jẹ ki a ṣe afihan apẹẹrẹ ti awọn dasibodu fun ogiriina Ṣayẹwo Point ati ọlọjẹ ailagbara OpenVas ti o le kọ.
Apeere ti dasibodu kan fun Aye Ṣayẹwo, aworan naa le tẹ:
Apeere ti dasibodu kan fun OpenVas, aworan naa le tẹ:
ipari
A wo ohun ti o ni ninu ELK akopọ, a ni imọran diẹ pẹlu awọn ọja akọkọ, nigbamii ninu iṣẹ-ẹkọ a yoo ronu lọtọ lati kọ faili iṣeto Logstash kan, ṣeto awọn dashboards lori Kibana, nini imọran pẹlu awọn ibeere API, adaṣe ati pupọ diẹ sii!
Nitorina duro aifwy, , , ), .
orisun: www.habr.com