Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



26.10.2020

Nowa wersja nVision

Można już pobierać nową wersję nVision
26.10.2020

Monitorowanie infrastruktury

Vertiv Environet Alert
23.10.2020

Telefonia w chmurze

NFON Cloudya
23.10.2020

Nowości w EDR

Bitdefender GravityZone
23.10.2020

Wykrywanie anomalii

Flowmon ADS11
23.10.2020

Mobilny monitor

AOC 16T2
22.10.2020

HP Pavilion

HP zaprezentowało nowe laptopy z linii Pavilion.
22.10.2020

Inteligentny monitoring

WD Purple SC QD101
22.10.2020

Przełącznik 2,5GbE

QNAP QSW-1105-5T

Rsyslog – centralne repozytorium logów

Data publikacji: 20-12-2019 Autor: Konrad Kubecki
Wizualizacja logów za pomocą...

Logi przechowywane lokalnie czy gromadzone w osobnym repozytorium? Możliwość zabezpieczenia zdarzeń, kompleksowej analizy i wizualizacji czy ograniczenia w tym zakresie? Między innymi na te pytania musi sobie odpowiedzieć każdy administrator, który rozważa wdrożenie centralnego serwera logów.

 

Kluczowym powodem, dla którego warto posiadać centralny serwer logów, jest bezpieczeństwo środowiska. Zdarzenia odnotowywane w lokalnych plikach logów trafiają na zewnętrzny serwer pełniący rolę centralnego repozytorium i tam – w przeciwieństwie do logów przechowywanych lokalnie – pozostają zachowane w niezmienionej formie. Intruz, który uzyska dostęp do jednego z serwerów, może zatrzeć ślady swojej aktywności poprzez wymazanie wpisów w plikach /var/log/messages, /var/log/secure oraz /var/log/audit/audit.log czy też całkowite je usunąć. Nie dotyczy to jednak kopii wysłanych na zewnętrzny serwer, które w wypadku podejrzenia, że doszło do niepowołanego dostępu, mogą stanowić wiarygodne źródło informacji do analizy. Oczywiście intruz może wyłączyć wysyłanie zdarzeń poza obrany do ataku serwer, ale zanim tego dokona, musi uzyskać dostęp pozwalający na rekonfigurację. Tym samym zostawi po sobie ślady.

 

W organizacjach z rozbudowanymi politykami bezpieczeństwa posiadanie centralnego serwera logów może być jednym z wymogów stawianych przed działem utrzymującym infrastrukturę. Często logi gromadzone w jednym miejscu są archiwizowane z wykorzystaniem systemu do backupu i nośników zewnętrznych. To zapewnia dostęp nawet wtedy, gdy dane zostaną usunięte z serwerów klientów, a centralny serwer będzie niedostępny. Archiwizacja ma także na celu odzyskanie miejsca w centralnym repozytorium. Przy większej liczbie klientów wysyłających swoje zdarzenia na zewnętrzny serwer liczba oraz wielkość plików mogą być bardzo duże pomimo stosowania kompresji.


Ponadto zdarzenia gromadzone na jednym serwerze mogą podlegać analizie i wizualizacji. W ostatnich latach popularnym zestawem narzędzi służącym do tych celów stał się Elastic Stack. Elastic Stack potrafi na bieżąco dostarczać interesujących informacji o sytuacji na serwerach, bazując na danych z plików messages czy secure. Możliwość oglądania ciekawych wykresów obrazujących stan infrastruktury wymaga jednak odpowiedniego przygotowania. Przede wszystkim zdarzenia zapisywane przez syslog nie są przetwarzane przez Elasticsearch. Trzeba je najpierw skonwertować do akceptowanego przez silnik formatu .json. Następnie odpowiednio przygotowane dane przesyłane są do Logstasha. Jego rola polega na przyjmowaniu zdarzeń z wielu różnych źródeł i przekształcaniu ich do użytecznej, ujednoliconej postaci. Dokonuje m.in. ustrukturyzowania danych, ustala współrzędne geograficzne na podstawie adresów IP, anonimizuje i odsiewa dane wrażliwe. Tak przetworzone zdarzenia trafiają do Elasticsearcha, skąd pobiera je Kibana. Efektem końcowym są raporty, których treść zmienia się zgodnie z aktualną sytuacją. Uzupełniając tradycyjne systemy monitorujące komponenty infrastruktury IT, tworzą szerszą perspektywę obserwacji środowiska.

 

> RSYSLOG


Powszechnie stosowanym oprogramowaniem służącym do budowy centralnego serwera logów w systemie Linux jest Rsyslog. Warto pamiętać, że centralny serwer logów uruchomiony na bazie Rsysloga może przyjmować zdarzenia nie tylko z serwerów linuksowych – poradzi sobie również ze zdarzeniami napływającymi z systemów Windows, z hostów wirtualizacji VMware vSphere, Citrix Xen oraz urządzeń sieciowych praktycznie wszystkich liczących się producentów. Do Rsysloga można także wysyłać logi z narzędzi do zarządzania serwerami sprzętowymi, np. Dell iDRAC, HP iLO oraz Lenovo IMM. W przypadku logów z hipernadzorców, serwerów fizycznych oraz urządzeń sieciowych konfiguracja sprowadza się do podania adresu IP oraz portu serwera logów. Niekiedy możliwy jest także wybór kategorii lub krytyczności zdarzeń. W przypadku systemów Windows niezbędna jest instalacja oprogramowania, które będzie przesyłać zdarzenia do zewnętrznego repozytorium.

 

> KONFIGURACJA


Gromadzenie w jednym miejscu logów z wielu serwerów może wymagać dużej przestrzeni dyskowej, nawet jeśli stosowana będzie kompresja starszych plików oraz archiwizacja danych na zewnętrznych nośnikach. Dlatego ważne jest, aby zagwarantować odpowiednie zasoby dyskowe wraz z możliwością skalowania. Dobrym pomysłem jest centralny serwer logów w postaci maszyny wirtualnej z osobną partycją, której wielkość można będzie dynamicznie dostosowywać, wykorzystując zalety LVM lub NFS. Serwer nie powinien pełnić żadnej innej roli – zwłaszcza przy dużej liczbie klientów wysyłających logi wzrost liczby operacji zapisów dyskowych oraz większe obciążenie sieci mogą być zauważalne. Jeżeli serwer logów ma przesyłać zdarzenia do innych narzędzi, to prawdopodobnie wyraźnie wzrośnie także liczba operacji odczytu, co może negatywnie przekładać się na wydajność innych systemów wykorzystujących te same dyski. Warto zatem rozważyć ulokowanie serwera w separacji od kluczowych systemów organizacji. Ponadto dostęp do serwera powinien być ograniczony do wybranego grona pracowników posiadających możliwość logowania się przez SSH oraz wykorzystywania podwyższonych uprawnień przez sudo.

 

[...]

 

Specjalista ds. utrzymania infrastruktury i operacji. Zajmuje się problematyką budowy i utrzymania centrów przetwarzania danych oraz zarządzania nimi i koordynowaniem zmian dotyczących krytycznej infrastruktury IT. 

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"