HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG &*& NGUYỄN THỊ HÀ LY lu an n va NGHIÊN CỨU GIẢI PHÁP GIÁM SÁT TẬP TRUNG VÀ ỨNG DỤNG p ie gh tn to QUẢN LÝ HỆ THỐNG MẠNG TRƯỜNG ĐẠI HỌC HÀ NỘI d oa nl w nf va an lu LUẬN VĂN THẠC SỸ KỸ THUẬT lm ul (Theo định hướng ứng dụng) z at nh oi z m co l gm @ HÀ NỘI – 2019 an Lu n va ac th si HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG &*& NGUYỄN THỊ HÀ LY lu NGHIÊN CỨU GIẢI PHÁP GIÁM SÁT TẬP TRUNG VÀ ỨNG DỤNG an n va QUẢN LÝ HỆ THỐNG MẠNG TRƯỜNG ĐẠI HỌC HÀ NỘI ie gh tn to p CHUYÊN NGÀNH : KHOA HỌC MÁY TÍNH : 8.48.01.01 d oa nl w MÃ SỐ lu nf va an LUẬN VĂN THẠC SỸ KỸ THUẬT (Theo định hướng ứng dụng) z at nh oi lm ul z gm @ NGƯỜI HƯỚNG DẪN KHOA HỌC PGS.TS TRẦN QUANG ANH m co l an Lu n va HÀ NỘI – 2019 ac th si i LỜI CAM ĐOAN Tôi cam đoan đề tài: “Nghiên cứu giải pháp giám sát tập trung ứng dụng quản lý hệ thống mạng Trường Đại học Hà Nội” cơng trình nghiên cứu riêng hướng dẫn PGS.TS Trần Quang Anh Các kết quả, phân tích, kết luận luận văn thạc sỹ (ngồi phần trích dẫn) kết làm việc tác giả, số liệu nêu luận văn trung thực chưa cơng bố cơng trình khác Nếu sai tơi xin hồn tồn chịu trách nhiệm lu an n va Hà Nội, ngày 12 tháng năm 2019 p ie gh tn to Tác giả w d oa nl Nguyễn Thị Hà Ly nf va an lu z at nh oi lm ul z m co l gm @ an Lu n va ac th si ii LỜI CẢM ƠN Lời cho em xin gửi lời cảm ơn chân thành đến thầy, cô giáo thuộc Khoa CNTT, Khoa QT&ĐT sau đại học thuộc Học viện Cơng nghệ Bưu viễn thơng tận tình giảng dạy, truyền đạt nội dung kiến thức, kinh nghiệm quý báu suốt trình em theo học Học viện Với học quý giá, kèm cặp, bảo truyền thụ tâm huyết thầy, cô giúp cá nhân em hoàn thiện hệ thống kiến thức chuyên ngành, phục vụ tốt yêu cầu công tác đơn vị đồng thời nâng cao vốn tri thức thân lu an Đặc biệt, em xin gửi lời cảm ơn chân thành tới thầy hướng dẫn khoa học n va PGS.TS Trần Quang Anh, tâm huyết, tận tình bảo, hướng dẫn, cung cấp tài tn to liệu nội dung kiến thức quý báu, đồng thời có định hướng đắn giúp Đồng thời em xin chân thành cảm ơn tập thể lớp Cao học Khoa học máy p ie gh em hồn thành luận văn tính đồng hành, khích lệ chia sẻ suốt q trình học tập oa nl w Trong trình thực luận văn, thân cố gắng, chủ động việc sưu tầm tài liệu, củng cố kiến thức… nhiên chắn luận văn d an lu nhiều thiếu sót Em mong nhận dạy, đóng góp tận tình thầy, Xin trân trọng cảm ơn! z at nh oi lm ul thực tiễn nf va cô để luận văn em hồn thiện có tính ứng dụng cao Hà Nội, ngày 12 tháng năm 2019 Học viên z m co l gm @ Nguyễn Thị Hà Ly an Lu n va ac th si iii MỤC LỤC LỜI CAM ĐOAN i LỜI CẢM ƠN .ii MỤC LỤC iii DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT v DANH MỤC CÁC HÌNH vi MỞ ĐẦU Chương I TỔNG QUAN VỀ GIÁM SÁT TẬP TRUNG VÀ CÁC YÊU CẦU GIÁM lu SÁT HỆ THỐNG MẠNG an 1.1 Các yêu cầu giám sát hệ thống mạng va n 1.1.1 Giới thiệu chung 1.2 Tổng quan giám sát tập trung 11 gh tn to 1.1.2 Các yêu cầu chung giám sát hệ thống mạng 10 p ie 1.3 Ứng dụng giám sát tập trung 13 1.4 Các yêu cầu chung cho giám sát tập trung 13 w oa nl 1.5 Tình hình triển khai hệ thống giám sát mạng Việt Nam vấn đề liên d quan đến giám sát hệ thống mạng thực tế 14 lu an 1.6 Kết luận chương 15 nf va Chương II NGHIÊN CỨU GIẢI PHÁP GIÁM SÁT TẬP TRUNG 16 lm ul 2.1 Các giải pháp giám sát 16 2.1.1 Giải pháp giám sát hiệu hoạt động máy chủ 16 z at nh oi 2.1.2 Giải pháp giám sát lưu lượng băng thông đường truyền 18 2.1.3 Giải pháp giám sát người dùng 18 z 2.1.4 Giải pháp giám sát dịch vụ 19 @ gm 2.1.5 Giải pháp giám sát Database 20 l 2.1.6 Giải pháp giám sát hệ điều hành 21 m co 2.1.7 Giải pháp giám sát an ninh hệ thống mạng 22 an Lu 2.2 Giới thiệu số công cụ giám sát: 23 2.2.1 Splunk 23 n va ac th si iv 2.2.2 Zabbix 24 2.2.3 Nagios 24 2.2.4 HP ArcSight Logger 25 2.2.5 PRTG Network Monitor 25 2.2.6 ELK stack 26 2.3 Kết luận chương 34 Chương III XÂY DỰNG HỆ THỐNG GIÁM SÁT TẬP TRUNG CHO HỆ THỐNG MẠNG CỦA ĐẠI HỌC HÀ NỘI 35 3.1 Khảo sát mạng nội Đại Học Hà Nội (sau xin phép nhà trường lu đồng ý từ ban giám hiệu) 35 an va 3.1.1 Mơ hình kiến trúc, chức trang thiết bị mạng có hệ n thống mạng trường Đại học Hà Nội 35 gh tn to 3.1.2 Yêu cầu sử dụng 36 p ie 3.2 Đề xuất giải pháp giám sát tập trung cho mạng nội trường đại học Hà Nội 37 nl w 3.2.1 Giám sát hiệu phần cứng máy chủ 38 d oa 3.2.2 Giám sát lưu lượng băng thông, đường truyền 38 an lu 3.2.3 Giám sát người dùng 38 nf va 3.2.4 Giám sát dịch vụ 38 3.2.5 Giám sát Database 38 lm ul 3.2.6 Giám sát Hệ điều hành 38 z at nh oi 3.2.7 Giám sát an ninh 38 3.3 Thử nghiệm đánh giá số giải pháp bảo mật đề xuất 38 3.3.1 Nội dung thử nghiệm 38 z gm @ 3.3.2 Kết thử nghiệm đánh giá 40 3.4 Kết luận chương 48 l co KẾT LUẬN 49 m TÀI LIỆU THAM KHẢO 50 an Lu PHỤ LỤC 51 n va ac th si v DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT Từ viết tắt Tiếng Anh FTP Tiếng Việt File Transfer Protocol Giao thức truyền tải file tốc độ cao HTTP Giao thức truyền tải siêu HyperText Transfer Protocol HTTPS lu an ICSA văn HyperText Transfer Protocol Giao thức truyền tải siêu Secure văn có tính bảo mật International Computer Security Hiệp hội an ninh máy tính Association quốc tế n va Hệ thống phát xâm Intrucsion Detection System nhập gh tn to IDS Internet Message Access Protocol p ie IMAP w oa xâm nhập d Giao thức lấy mail từ máy POP3 lu SMTP Simple Mail Transfer Protocol Post Office Protocol chủ nf va an Giao thức truyền tải mail lm ul SNMP máy chủ Hệ thống phòng chống Intrusion Prevention Systems nl IPS Giao thức truy cập mail Giao thức hỗ trợ quản lý Protocol từ xa z at nh oi Simple Network Management Transmission Control Protocol UDP User Datagram Protocol Giao thức truyền thông tin Internet z TCP gm @ Giao thức truyền thông tin l m co nhanh Internet an Lu n va ac th si vi DANH MỤC CÁC HÌNH Hình 1.1 Cơ chế hoạt động hệ thống giám sát Hình 1.2 Vịng đời chung Log (Nguồn: Internet) Hình 1.3 Mơ hình Log local Hình 1.4 Mơ hình Log tập trung 10 Hình 1.5 Mơ hình giám sát tập trung [13] 13 Hình 2.2 Các thành phần ELK stack [8] 27 Hình 2.3 Cấu trúc ELK [8] 28 Hình 2.4 Cơng cụ Elasticsearch [8] 29 lu an Hình 2.5 Cơng cụ Logstash nguyên lý hoạt động [8] 30 n va Hình 2.6 Cơng cụ Kibana [8] 32 tn to Hình 2.7 Beats nguyên lý hoạt động [8] 33 gh Hình 2.8 Beats Family [8] 34 p ie Hình 3.1: Mơ hình hoạt động hệ thống mạng trường Đại học Hà Nội 35 Hình 3.2: Giám sát hiệu phần cứng 41 oa nl w Hình 3.3: Mail gửi có Host vượt q ngưỡng CPU 70% 41 Hình 3.4: Danh sách máy tạo nhiều traffic 42 d an lu Hình 3.5: Danh sách máy nhận nhiều traffic 43 nf va Hình 3.6: Giám sát lượng người dùng lỗi đăng nhập khóa tài khoản sử dụng lm ul dịch vụ Active Directory 43 Hình 3.7: Giám sát dịnh vụ web apache 44 z at nh oi Hình 3.8: Giám sát tình trạng hoạt động dịch vụ Windows 45 Hình 3.9: Giám sát hàng động truy vấn (MySQL) 45 z Hình 3.10: Giám sát số lượng kết nối tới Database (MySQL) 46 @ gm Hình 3.11: Giám sát log hệ điều hành Windows 47 l Hình 3.12: Giám sát log Windows Defender Antivirus 47 m co Hình 3.13: Giám sát log hệ điều hành Linux (/var/log/ ) 47 Hình 3.15: Giám sát log đẩy từ Fortinet (Traffic log) 48 an Lu n va ac th si MỞ ĐẦU Lý chọn đề tài Giám sát hệ thống mạng vấn đề vô quan trọng hệ thống mạng giới Việc cập nhật tình trạng thành phần bên hệ thống giúp ta chủ động để ứng phó với vấn đề nảy sinh trình hệ thống hoạt động Nếu khơng có giám sát, hệ thống quan tổ chức thụ động trước cố xảy hay đặc biệt can thiệp trái phép từ bên ngoài, gây tổn thất đo đếm Ngày nay, hệ thống mạng thường có biện pháp bảo vệ an ninh mạng lu an firewall, phần mềm diệt virus, giải pháp có tác dụng vịng n va đai ngồi hệ thống mạng, vơ hiệu với cơng backdoor Hay tn to IDS/IPS – hệ thống phát phịng chống xâm nhập khơng thể phát gh cố phát sinh từ bên nghẽn băng thông, sập máy chủ, sập Router, p ie Điều rõ hệ thống mạng cần hệ thống giám sát w bao quát vấn đề, cung cấp thông tin định kỳ hệ thống, giúp người quản oa nl trị mạng sẵn sàng phát cố nhằm khắc phục chúng nhanh kịp d thời nhất, giảm thiểu chi phí quy mơ cố xuống thấp an lu Để thực việc giám sát cách hiệu quả, ISO (International nf va Organization for Standardization) thiết kế mơ hình gọi FCAPS [3] - Quản lý lỗi - Quản lý tài khoản gm @ - Quản lý bảo mật z - Quản lý hiệu z at nh oi - Quản lý cấu hình lm ul nhằm định hướng rõ việc mà hệ thống quản lý cần phải thực hiện: l Và giải pháp giám sát hệ thống mạng thích hợp, hệ thống quản lý an Lu theo dõi, sở để quản lý tồn hệ thống m co thu thập thông tin, liệu báo cáo định kì từ thiết bị phần mềm n va ac th si Từ nhu cầu giám sát hệ thống mạng tổ chức, doanh nghiệp quan, học viên xin chọn đề tài nghiên cứu “NGHIÊN CỨU GIẢI PHÁP GIÁM SÁT TẬP TRUNG VÀ ỨNG DỤNG QUẢN LÝ HỆ THỐNG MẠNG TRƯỜNG ĐẠI HỌC HÀ NỘI” Tổng quan vấn đề nghiên cứu Giám sát hệ thống mạng việc sử dụng hệ thống để liên tục theo dõi thành phần mạng máy tính, xem xét tình trạng hoạt động thành phần bên mạng, báo lại cho quản trị viên thành phần giám sát phát sinh vấn đề, cố để từ đề xuất phương án giải lu an Thơng thường mạng máy tính tối thiểu cần có máy chủ (server), đường n va truyền, thiết bị kết nối (Repeater, Hub, Switch, Bridge, ), máy tính người dùng tn to (client), card mạng (Network Interface Card – NIC) để kết nối máy tính lại với p ie gh Một hệ thống giám sát gồm có nhiều thành phần: Máy trinh sát (Sensor), Máy thu thập (Collector), Cơ sở liệu trung tâm Cơng cụ phân tích (Analysis tool) nl w Mỗi thành phần bao gồm chức riêng, phương pháp thu thập, d oa phân tích liệt kê nhằm đảm bảo đánh giá phản hồi kiện xảy hệ thống an lu mạng cách nhanh chóng xác nf va Các kiện diễn thiết bị ghi lại “log” Log ghi lại xác hoạt động thiết bị tình trạng hoạt động thiết bị Nhiệm vụ lm ul hệ thống giám sát mạng sử dụng máy trinh sát đến thiết bị cần theo dõi, thu z at nh oi thập log gửi sở liệu trung tâm Thơng qua cơng cụ phân tích để xác định cố báo lại cho quản trị viên nhằm có hành động thích hợp để ứng phó z Tóm lại, cần phải có giải pháp giám sát tập trung để thu thập m co l hiệu gm @ lượng log lớn giải tốn giám sát, từ quản lý hệ thống cách an Lu n va ac th si 60 if "winlogbeat" in [tags] and [log_name] == "Security" and [event_id] == 4625 { mutate { remove_field => ["[message]"] add_field => { "short_message" => "Logon Failure Activity" } }}} filter { if "winlogbeat" in [tags] and [log_name] == "Security" and [event_id] == 4648 { lu an mutate { n va remove_field => ["[message]"] explicit credentials" } gh tn to add_field => { "short_message" => "A logon was attempted using p ie }}} d oa == 4727 { if "winlogbeat" in [tags] and [log_name] == "Security" and [event_id] nl w filter { an lu mutate { was created" } lm ul }} nf va add_field => { "short_message" => "A security-enabled global group mutate { z at nh oi else if [event_id] == 4728 { add_field => { "short_message" => "A member was added to a z m co mutate { l else if [event_id] == 4729 { gm }} @ security-enabled global group" } an Lu n va ac th si 61 add_field => { "short_message" => "A member was removed from a security-enabled global group" } }} else if [event_id] == 4730 { mutate { add_field => { "short_message" => "A security-enabled global group was deleted" } }} else if [event_id] == 4731 { lu an mutate { n va add_field => { "short_message" => "A security-enabled local group }} gh tn to was created" } p ie else if [event_id] == 4732 { add_field => { "short_message" => "A member was added to a nl w mutate { an lu }} d oa security-enabled local group" } mutate { nf va else if [event_id] == 4733 { lm ul add_field => { "short_message" => "A member was removed from a }} z at nh oi security-enabled local group" } else if [event_id] == 4734 { z gm @ mutate { add_field => { "short_message" => "A security-enabled local group m an Lu else if [event_id] == 4735 { co }} l was deleted" } n va ac th si 62 mutate { add_field => { "short_message" => "A security-enabled local group was changed" } }} else if [event_id] == 4737 { mutate { add_field => { "short_message" => "A security-enabled global group was changed" } }} lu an else if [event_id] == 4754 { n va mutate { group was created" } gh tn to add_field => { "short_message" => "A security-enabled universal p ie }} mutate { nl w else if [event_id] == 4755 { d oa add_field => { "short_message" => "A security-enabled universal nf va }} an lu group was changed" } else if [event_id] == 4756 { lm ul mutate { z at nh oi add_field => { "short_message" => "A member was added to a security-enabled universal group" } }} z l gm mutate { @ else if [event_id] == 4757 { an Lu }} m security-enabled universal group" } co add_field => { "short_message" => "A member was removed from a n va ac th si 63 else if [event_id] == 4758 { mutate { add_field => { "short_message" => "A security-enabled universal group was deleted" } }} else if [event_id] == 4764 { mutate { add_field => { "short_message" => "A group's type was changed" } }}} lu an filter { n va if "winlogbeat" in [tags] and [log_name] == "Security" and mutate { gh tn to [event_data][LogonType] == "2" { p ie add_field => { "Method" => "Interactive - Keyboard" } else if [event_data][LogonType] == "3" { nl w }} d oa mutate { nf va }} an lu add_field => { "Method" => "Network Logon" } else if [event_data][LogonType] == "4" { lm ul mutate { }} z at nh oi add_field => { "Method" => "Batch - Scheduled Task" } else if [event_data][LogonType] == "5" { z gm @ mutate { add_field => { "Method" => "Service Account" } an Lu mutate { m else if [event_data][LogonType] == "7" { co l }} n va ac th si 64 add_field => { "Method" => "Unlock System" } }} else if [event_data][LogonType] == "8" { mutate { add_field => { "Method" => "NetworkCleartext" } }} else if [event_data][LogonType] == "9" { mutate { add_field => { "Method" => "NewCredentials" } lu an }} n va else if [event_data][LogonType] == "10" { to mutate { gh tn add_field => { "Method" => "RemoteInteractive" } p ie }} mutate { nl w else if [event_data][LogonType] == "11" { nf va an lu }} d oa add_field => { "Method" => "CachedInteractive" } else if [event_data][LogonType] == "0" { lm ul mutate { }}} filter { z at nh oi add_field => { "Method" => "System Account" } z [event_data][Status] == "0x0" { an Lu }} m add_field => { "Statusmsg" => "Success" } co l mutate { gm @ if "winlogbeat" in [tags] and [log_name] == "Security" and n va ac th si 65 else if [event_data][Status] == "0x12" { mutate { add_field => { "Statusmsg" => "Account: disabled,expired,locked out,logon hours" } }} else if [event_data][Status] == "0xB" { mutate { add_field => { "Statusmsg" => "Request start time is later than end time" } lu an }} n va else if [event_data][Status] == "0x17" { to mutate { gh tn add_field => { "Statusmsg" => "Password has expired" } p ie }} mutate { nl w else if [event_data][Status] == "0x18" { an lu }} d oa add_field => { "Statusmsg" => "Bad password" } mutate { nf va else if [event_data][Status] == "0x1b" { lm ul add_field => { "Statusmsg" => "Server principal valid for user-to-user }} z at nh oi only" } else if [event_data][Status] == "0x1d" { z gm @ mutate { add_field => { "Statusmsg" => "A service is not available." } m an Lu mutate { co else if [event_data][Status] == "0x20" { l }} n va ac th si 66 add_field => { "Statusmsg" => "Ticket expired- Frequently logged by computer accounts" } }} else if [event_data][Status] == "0x25" { mutate { add_field => { "Statusmsg" => "Workstation’s clock out of sync with the DC" } }} else if [event_data][Status] == "0x6" { lu an mutate { n va add_field => { "Statusmsg" => "Username does not exist or has not }} gh tn to replicated" } p ie else if [event_data][Status] == "0xc000006a" { add_field => { "Statusmsg" => "Incorrect Password" } nl w mutate { d oa }} mutate { nf va an lu else if [event_data][Status] == "0xc0000064" { add_field => { "Statusmsg" => "Username Does Not Exist" } lm ul }} mutate { z at nh oi else if [event_data][Status] == "0xc0000072" { add_field => { "Statusmsg" => "Account is disabled" } z gm @ }} else if [event_data][Status] == "0xc0000234" { co l mutate { m add_field => { "Statusmsg" => "Account is Locked Out" } an Lu }} n va ac th si 67 else if [event_data][Status] == "0xc0000193" { mutate { add_field => { "Statusmsg" => "Account Expiration" } }} else if [event_data][Status] == "0xc000006f" { mutate { add_field => { "Statusmsg" => "Logon Outside Hours" } }} else if [event_data][Status] == "0xc0000224" { lu an mutate { n va add_field => { "Statusmsg" => "Use Required to change password next }} gh tn to time" } p ie else if [event_data][Status] == "0xc0000071" { add_field => { "Statusmsg" => "Password expired" } nl w mutate { d oa }} mutate { nf va an lu else if [event_data][Status] == "0xc000006d" { add_field => { "Statusmsg" => "Logon Failure" } lm ul }} mutate { z at nh oi else if [event_data][Status] == "0xc000006e" { add_field => { "Statusmsg" => "Unknown user name or bad z }} l gm @ password." } m mutate { co else if [event_data][Status] == "0xc000005e" { an Lu add_field => { "Statusmsg" => "No Logon Servers available to login" } n va ac th si 68 }} else if [event_data][Status] == "0xc0000133" { mutate { add_field => { "Statusmsg" => "Workstation’s clock out of sync with the DC" } }} else if [event_data][Status] == "0xc00002ee" { mutate { add_field => { "Statusmsg" => "An Error occured during Logon" } lu an }} n va else if [event_data][Status] == "0xc000015b" { to mutate { gh tn add_field => { "Statusmsg" => "Login Not Allowed for this system" } p ie }} mutate { nl w else if [event_data][Status] == "0xc0000225" { d oa add_field => { "Statusmsg" => "Windows Bug and not a risk" } nf va an output { lu }}} if "winlogbeat" in [tags] { lm ul elasticsearch { z at nh oi hosts => ["http://192.168.1.5:9200"] index => "logstash-winlogbeat-%{+xxxx.ww}" # Format cũ: index => "logstash-winlogbeat-%{+YYYY.MM.dd}" z Lưu cấu hình khởi động lại dịch vụ: co l # Systemctl restart logstash gm @ }}} m Vậy ta cấu hình xong Winlogbeat để thu thập log truy cập dịch vụ an Lu Active Directory máy chủ Windows n va ac th si 69 Cấu hình Switch, Router gửi syslog máy chủ ELK Ở Switch Router, thiết bị cấu hình hoạt động bình thường hệ thống mạng Để gửi syslog máy chủ ELK, ta cấu sau: (Có tham khảo mã nguồn: Cisco Certified Network Associate – Cisco Academy) Switch> enable Switch#configure terminal Switch(config)#logging host 192.168.1.5 transport udp port 5514 lu an Switch(config)#end va Switch>wr n Sau ta cần cấu hình logstash để nhận syslog từ Switch, Router tn to Khởi tạo tệp tin cấu hình: gh p ie # vi /etc/logstash/conf.d/logstash-syslog.conf udp { nl w input { d oa port => 5514 filter {} nf va }} an lu type => “syslog” z at nh oi elasticsearch { lm ul output { hosts => ["192.168.1.5:9200"] z }} l # Systemctl restart logstash gm @ Lưu cấu hình khởi động lại dịch vụ: m co Việc cài đặt cấu hình Switch, Router gửi syslog máy chủ ELK hoàn tất Cấu hình Firewall Fortinet gửi syslog máy chủ ELK an Lu Đầu tiên, ta cần cấu hình Syslog Fortinet: n va ac th si 70 config log syslogd setting set status enable set server "192.168.1.5" set port 514 end config log syslogd filter set severity error end Sau ta cấu hình Logstash lu an # vi /etc/logstash/conf.d/logstash-fortinet.conf n va input { to udp { gh tn port => 514 p ie type => "syslog" filter {} nl w }} d oa output { an lu elasticsearch { }} nf va host => ["192.168.1.5:9200"] lm ul Lưu cấu hình khởi động lại dịch vụ: z at nh oi # Systemctl restart logstash Vậy ta hồn thành việc cấu hình Firewall Fortinet tự động gửi syslog máy chủ ELK Truy cập Kibana, vào index pattern Logstash, ta nhận log gửi z gm @ đến từ Fortinet Cấu hình ngưỡng, cảnh báo ELK l co Để cấu hình ngưỡng, cảnh báo ELK Máy chủ ELK cần phải cài m đặt module X-pack Truy cập vào máy chủ ELK, ta sử dụng lệnh sau: an Lu # /usr/share/elasticsearch/bin/elasticsearch-plugin install x-pack n va ac th si 71 # /usr/share/kibana/bin/kibana-plugin install x-pack # /usr/share/logstash/bin/logstash-plugin install x-pack Sau đó, ta chỉnh sửa file cấu hình Elasticsearch: # vi /etc/elasticsearch/elasticsearch.yml Thêm vào cuối file xpack.license.self_generated.type: trial xpack.monitoring.enabled: true xpack.security.enabled: false xpack.watcher.enabled: true lu an xpack.ml.enabled: false n va Giờ ta khởi động lại dịch vụ to # systemctl restart elasticsearch kibana logstash gh tn Sau cài xong, ta vào giao diện Management bên Kibana Có thể để ý thấy p ie có nhiều thay đổi sau cài X-pack d oa nl w nf va an lu z at nh oi lm ul Hình 4: Giao diện ELK sau cài X-pack z Ở mục Elasticsearch, click vào Watcher -> Create new Watch -> m co l gm @ Threshold Alert (tạo ngưỡng cảnh báo mới) an Lu n va ac th si 72 Hình 5: Tạo ngưỡng cảnh báo (1) lu Ở phần Name, ta đặt tên cho mức ngưỡng an va Ở phần Index, ta chọn loại thông tin mà ta đặt ngưỡng, ELK giám n sát Metricbeat – hiệu phần cứng máy chủ nên ta chọn Metricbeat Ở phần gh tn to Select a time Field, ta chọn @timestamp – hiển thị hiệu theo thời gian, run this watch every kiểm tra trạng thái lượt cách thời gian, ta ie p chọn 10s d oa nl w nf va an lu z at nh oi lm ul z m co l gm @ an Lu n va ac th si 73 lu an n va p ie gh tn to nl w Hình 6: Tạo ngưỡng cảnh báo (2) d oa Ở phần Matching the following condition, ta cần lựa chọn giá trị When, an lu Over, Is Above, For the Last, phù hợp vs nhu cầu ngưỡng Chẳng hạn đặt ngưỡng sau System Load hay High Heap Usage: nf va z at nh oi lm ul z l gm @ Hình 7: Tạo ngưỡng cảnh báo (3) m co an Lu n va ac th si 74 Hình 8: Tạo ngưỡng cảnh báo (4) Sau đặt ngưỡng thích hợp, nhiệm vụ cuối lựa chọn kiểu cảnh lu báo Có kiểu cảnh báo E-mail, Logging Slack phần chọn Add new Action an phần cài đặt mức ngưỡng Sau điền thông tin phần kiểu cảnh va n báo, ta hoàn thành p ie gh tn to oa nl w Hình 9: Chọn kiểu cảnh báo Email d nf va an lu z at nh oi lm ul Hình 10: Chọn kiểu cảnh báo Log z m co l gm @ an Lu n va ac th si