Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


26.10.2020

Nowa wersja nVision

Można już pobierać nową wersję nVision
26.10.2020

Monitorowanie infrastruktury

Vertiv Environet Alert
23.10.2020

Telefonia w chmurze

NFON Cloudya
23.10.2020

Nowości w EDR

Bitdefender GravityZone
23.10.2020

Wykrywanie anomalii

Flowmon ADS11
23.10.2020

Mobilny monitor

AOC 16T2
22.10.2020

HP Pavilion

HP zaprezentowało nowe laptopy z linii Pavilion.
22.10.2020

Inteligentny monitoring

WD Purple SC QD101
22.10.2020

Przełącznik 2,5GbE

QNAP QSW-1105-5T

Zarządzanie zdarzeniami i analiza logów

Data publikacji: 15-06-2020 Autor: Konrad Kubecki
Nagios Log Server to system...

Kolekcjonowanie logów z serwerów WWW bywa celem samym w sobie, warto jednak pójść kilka kroków dalej. Interpretacja i porównywanie zdarzeń, wykrywanie trendów, anomalii oraz zagrożeń to prawdziwe korzyści z wdrożenia systemu centralnego zarządzania i analizy logów.

 

Nagios Log Server jest systemem służącym do składowania i analizy logów. Umożliwia tworzenie zapytań oraz wizualizację wyników za pomocą zestawień i różnego rodzaju wykresów. Prezentowane informacje są odświeżane na bieżąco. Ponadto pełni funkcje zbliżone do typowego systemu monitoringu – jedną z nich są alerty, które na podstawie częstotliwości występowania określonych zdarzeń, wyzwalają zdefiniowane przez administratora akcje.


Nagios Log Server potrafi obsłużyć różne typy logów. Poradzi sobie z zapisami pochodzącymi z systemów Microsoft Windows oraz z praktycznie wszystkich najpopularniejszych dystrybucji systemu Linux. Wspiera serwery bazodanowe MS SQL Server i MySQL oraz – będące tematem przewodnim niniejszego artykułu – zdarzenia z serwerów WWW. Wśród obsługiwanych logów są te pochodzące z serwera Apache oraz IIS. Interesującą możliwością jest także przetwarzanie logów aplikacyjnych. Nagios Log Server może być wykorzystywany do monitorowania i analizy stanu aplikacji napisanych w języku PHP. Nie zapomniano również o urządzeniach sieciowych. Kolekcjonowanie i analiza logów z urządzeń Cisco, Juniper lub jakichkolwiek innych są możliwe, jeśli te ostatnie potrafią wysyłać swoje zdarzenia.


> POD MASKĄ


Zdarzenia napływające do Log Servera podlegają natychmiastowej obróbce, dzięki czemu zawartość interfejsu webowego aktualizowana jest niemalże w czasie rzeczywistym, tylko z minimalnym opóźnieniem. Jest to możliwe dzięki wykorzystaniu niezwykle popularnego w ostatnich latach zestawu narzędzi: Logstach, Elasticsearch i Kibana.


Logstash odpowiada za wstępne przetwarzanie napływających logów. Jego rola polega na odsianiu zbędnych zdarzeń i przechwyceniu jedynie tych przydatnych pod kątem analitycznym. Dokonuje między innymi rozwiązywania adresów IP na nazwy, ustala lokalizację geograficzną żądań, anonimizuje zdarzenia oraz usuwa wrażliwe informacje. Logstash potrafi odbierać informacje przychodzące różnymi drogami, w tym m.in. poprzez komunikację wykorzystującą porty protokołów TCP/IP, trapy SNMP oraz sockety uniksowe. Przetworzone przez niego zdarzenia trafiają do Elasticsearcha będącego silnikiem do składowania i indeksowania. W kolejnym kroku do działania wkracza Kibana, która służy do graficznej prezentacji zawartości logów. Umożliwia tworzenie wykresów słupkowych, liniowych, kołowych oraz map przedstawiających historyczny oraz bieżący stan analizowanego obszaru. Realizowana przez Kibanę wizualizacja informacji jest kluczowa w kontekście wykrywania trendów.


Twórcy Log Servera wzbogacili standardowe możliwości Kibany o kilka dodatkowych elementów znacząco wpływających na użyteczność systemu. Jest to m.in. możliwość tworzenia własnych dashboardów przystosowanych do prezentowania wielu zróżnicowanych obiektów, prezentujących dane w formie graficznej. Z kolei drobnym, ale przydatnych ułatwieniem jest przycisk otwierający w przeglądarce wyszukiwarkę Google, Bind lub StackOverflow wraz z uzupełnioną treścią komunikatu. Przycisk ten jest dostępny przy każdym wierszu loga prezentowanego na dashboardzie.


> ŹRÓDŁO WIEDZY


W kontekście zdarzeń pochodzących z serwerów webowych Nagios Log Ser­ver pomaga deweloperom i administratorom śledzić na bieżąco liczbę obsługiwanych żądań oraz wychwytywać te szczególnie interesujące, wpływające na stabilność oraz bezpieczeństwo. Możliwe jest między innymi bieżące śledzenie żądań, które kończą się: poprawnym obsłużeniem (kody odpowiedzi 200–299), błędami po stronie klienta (kody 400–499), przekierowaniami (kody 300–399) oraz błędami serwera (500–599). Każdy z kodów odpowiedzi może być przedmiotem zapytań, na podstawie których w dalszej kolejności powstaną wykresy, tabelki i wyliczenia. Pozwala to na wizualizowanie ruchu historycznego i bieżącego pod względem typu, występowania określonych zjawisk czy wielkości w określonych przedziałach czasu. Dzięki temu łatwiej zauważyć anomalie lub niepoprawne zachowania. Zwiększona liczba niepożądanych zdarzeń, np. w ciągu ostatniego kwadransa, to znak, że może dziać się coś niepożądanego. Natomiast bardzo duża liczba podobnych żądań w krótkim czasie, pochodząca z tych samych adresów, to znak, że może dochodzić do ataku typu Denial Of Service lub Distributed Denial of Service.


Wykorzystując możliwość interfejsu graficznego Log Servera, możliwe jest także zdobycie odpowiedzi na pytania o najczęściej stosowane przez odwiedzających przeglądarki, systemy operacyjne, lokalizacje geograficzne, określenie godzin największego ruchu, najczęściej pobieranej zawartości, czasu odpowiedzi na żądania lub pozyskanie informacji na temat pracy poszczególnych węzłów obsługujących stronę/aplikację. Wiedza dostarczana przez Log Server dobrze uzupełnia informacje i treści wykresów generowanych przez tradycyjny system monitorowania. Obserwując wykresy obrazujące trendy oraz częstotliwość występowania określonych żądań lub błędów, łatwiej wykryć awarię, zwiększone obciążenie serwera lub skutki nieprawidłowej konfiguracji.


Idąc dalej, system Nagios Log Server warto wykorzystać do kolekcjonowania i analizy logów pochodzących z systemów operacyjnych zainstalowanych na serwerach webowych. Serwery te, wystawione do internetu bezpośrednio lub dostępne przez proxy/load balancer, są narażone na wiele zagrożeń. O ich bezpieczeństwo warto zadbać w szczególny sposób. Istotna jest tu aktualna wiedza o zwiększonej częstotliwości prób logowania na ssh czy o próbach łączenia do usług ftp, sftp. Informacje o źródłach takich zdarzeń pozwalają podjąć odpowiednie kroki, np. zablokować komunikację z tymi adresami IP już na styku firmy z internetem. Jest to dobre uzupełnienie narzędzia Fail2ban, które analizuje próby logowania do usługi ssh i blokuje źródłowy adres IP nieudanych prób, dodając reguły na firewallu (szerszy opis Fail2ban w artykule pt. „Ochrona usługi SSH” w „IT Professional” 2019/2, s. 47). Monitorowanie zapisów w logach /var/log/messages, /var/log/secure oraz wychwytywanie błędów i zagrożeń to jedne z istotniejszych czynności, do których Log Server może się przydać.

 

[...]

 

Specjalista ds. utrzymania infrastruktury i operacji. Zajmuje się problematyką budowy i utrzymania centrów przetwarzania danych oraz zarządzania nimi i koordynowaniem zmian dotyczących krytycznej infrastruktury IT.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"