Đây là bản báo cáo đồ án chuyên đề cuối khóa học của sinh viên công nghệ thông tin. Với tên đề tài là triển khai phân tích file log trên windows server 2012. Mục đích là để dành cho những ai có nhu cầu tham khảo và tìm hiểu về cách làm bài báo cáo đồ án tốt nghiệpchuyên đề.
TRƯỜNG CAO ĐẲNG CÔNG NGHỆ THÔNG TIN HỮU NGHỊ VIỆT – HÀN KHOA CÔNG NGHỆ THÔNG TIN ĐỒ ÁN CHUYÊN ĐỀ NGÀNH: MẠNG MÁY TÍNH Đề Tài: TRIỂN KHAI PHÂN TÍCH FILE LOG TRÊN WINDOWS SERVER 2012 GVHD: Th.S Lê Tự Thanh SVTH: Trần Văn Lợi Huỳnh Thanh Cường Lớp: CCMM07A Khóa học: 2013 – 2016 Đà Nẵng, tháng 06 năm 2016 TRIỂN KHAI PHÂN TÍCH FILE LOG TRÊN WINDOWS SERVER 2012 LỜI NÓI ĐẦU Với tốc độ phát triển chóng mặt ngành công nghệ thông tin với nhu cầu lớn từ nhiều người sử dụng, dẫn đến hệ thống máy tính trở nên phức tạp, khó quản lý Nhiều hệ thống nơi, nằm phân tán Các hệ điều hành, ứng dụng, dịch vụ tạo nhiều nguồn khác Lượng liệu khổng lồ không ngừng gia tăng lại không tập trung Vì vậy, cần phải ghi lại hoạt động hệ thống mà Log Thông thường, ghi lưu trữ phân tán thiết bị khác Kiểm tra log theo phương pháp truyền thống đăng nhập vào hệ thống để tìm kiểm tra, tìm kiếm lỗi gây thời gian, hiệu Ngày nay, để giải yêu cầu chúng em sử dụng ELK để phân tích log theo thời gian thực giúp quản lý đăng nhập tập trung, thao tác đơn giản tăng hiệu làm việc Có thể đáp ứng khối lượng lớn liệu gây phân phối lưu trữ xử lý, tìm kiếm văn đầy đủ, đăng nhập khai thác, thách thức trực quan Được xây dựng phần mềm mã nguồn mở Lucene tìm kiếm toàn văn Elasticsearch, có kích thước khổng lồ liệu để hoàn thành việc lập mục phân phối thu hồi, mà cung cấp phân tích tổng hợp số liệu; Logstash đối phó hiệu với nhiều nguồn liệu khác từ thông tin đăng nhập, bảng điều khiển Kibana phân tích kết trực quan Cùng với đó, Windows Server 2012 ngày sử dụng phổ biến rộng rãi Và dễ nhận thấy việc ghi lại hoạt động hệ thống mang lại nhiều lợi ích vô cần thiết Tuy nhiên, việc để phân tích file log nhiều người chuyện dễ dàng làm Mà đặc biệt Windows Server 2012 người chưa thao tác nhiều với việc phân tích hoạt động hệ thống Đây lý nhóm chúng em chọn “Triển Khai Phân Tích File Log Trên Windows Server 2012” làm đề tài Đồ án chuyên đề Mạng máy tính Nhóm chúng em xin gửi lời cảm ơn chân thành đến thầy Ths.Lê Tự Thanh đồng hành, định hướng, hỗ trợ nhiệt tình, với ý kiến đóng góp quý báu thầy giúp nhóm chúng em hoàn thành đồ án chuyên đề SVTH: Trần Văn Lợi_Huỳnh Thanh Cường TRIỂN KHAI PHÂN TÍCH FILE LOG TRÊN WINDOWS SERVER 2012 MỤC LỤC LỜI NÓI ĐẦU MỤC LỤC CHƯƠNG CƠ SỞ LÝ THUYẾT 1.1 Giới thiệu đề tài 1.1.1 Bối cảnh thực đề tài .6 1.1.2 Mục đích thực đề tài 1.2 Giới thiệu file log 1.2.1 Log FTP 1.2.2 Log Firewall 1.3 Giới thiệu công cụ ELK (Elasticsearch + Logstash + Kibana) 1.3.1 Giới thiệu Elasticsearch 1.3.2 Giới thiệu Logstash 1.3.3 Giới thiệu Kibana 1.4 Yêu cầu hệ thống 10 CHƯƠNG 2: TRIỂN KHAI PHÂN TÍCH FILE LOG TRÊN WINDOWS SERVER 2012 11 2.1 Mô hình triển khai: 11 2.2 Hướng dẫn cài đặt Windows Server 2012 11 2.3 Hướng dẫn cài đặt IIS Windows Server 2012 17 2.4 Cách lấy file log Windows server 2012 20 2.4.1 Lấy Log FTP: .20 2.4.2 Lấy Log firewall 23 2.5 Cài đặt công cụ ELK( ElasticSearch + Logstash + Kibana) 29 2.6 Triển khai phân tích file log FTP 41 2.6.1 Cài đặt, cấu hình log FTP 41 2.6.2 Phân tích 43 2.7 Triển khai phân tích file log Firewall 47 2.7.1 Cài đặt, cấu hình log Firewall .47 2.7.2 Phân tích 49 CHƯƠNG 3: KẾT LUẬN .54 3.1 Kết luận chung kết đạt 54 3.2 Đánh giá mức độ hoàn thành 54 SVTH: Trần Văn Lợi_Huỳnh Thanh Cường TRIỂN KHAI PHÂN TÍCH FILE LOG TRÊN WINDOWS SERVER 2012 DANH MỤC HÌNH ẢNH Hình 1.1 Nội dung file FTP Hình 1.2 Nội dung file log Firewall Hình 1.3 Các thành phần Logstash Hình 1.4 Kiến trúc ngăn sếp ELK 10 Hình 2.1 Mô hình triển khai .11 Hình 2.2 Cửa sổ làm việc Vmware Workstation .11 Hình 2.3 Chọn file ISO .12 Hình 2.4 Chọn hệ điều hành phiên bản.\ 12 Hình 2.5 Đặt tên máy 13 Hình 2.6 Ngôn ngữ cài đặt, múi giờ, ngôn ngữ bàn phím .13 Hình 2.7 Nhập Key cài đặt 14 Hình 2.8 Chọn phiên Windows server 2012 14 Hình 2.9 Giao diện license items 15 Hình 2.10 Giao diện phân vùng đĩa .15 Hình 2.11 Đang bắt đầu trình cài đặt 16 Hình 2.12 Giao diện làm việc Windows Server 2012 16 Hình 2.13 Cửa sổ Add roles and features Wizard 17 Hình 2.14 Giao diện Role services .17 Hình 2.15 Đang cài đặt Progress 18 Hình 2.16 Cài đặt FTP 18 Hình 2.17 Giao diện IIS Manager 19 Hình 2.18 Đặt tên FTP site 19 Hình 2.19 Giao diện làm việc FTP .20 Hình 2.20 Vào phần IIS Windows Server 2012 20 Hình 2.21 Cấu hình thông tin file log ftp 21 Hình 2.22 Cài đặt windown làm client cho hệ thống 21 Hình 2.23 Quá trình cài đặt 22 Hình 2.24 Từ máy client ta truy cập vào ftp với địa ip máy server .22 Hình 2.25 Nội dung file log ftp 23 Hình 2.26 Cửa sổ windows firewall 23 SVTH: Trần Văn Lợi_Huỳnh Thanh Cường TRIỂN KHAI PHÂN TÍCH FILE LOG TRÊN WINDOWS SERVER 2012 Hình 2.27 Vào Action chọn properties 24 Hình 2.28 Cửa sổ Domain profile 24 Hình 2.29 Cửa sổ private Profile 25 Hình 2.30 Cửa sổ Public Profile 26 Hình 2.31 Cửa sổ IPsec Settings 26 Hình 2.32 Monitoring 27 Hình 2.33 Log Firewall 27 Hình 2.34 Thêm cài đặt Java PPA 29 Hình 2.35 Cài đặt Java8 30 Hình 2.36 Nhập khóa GPG Elasticsearch .31 Hình 2.37 Cập nhật liệu 31 Hình 2.38 Cài đặt ElasticSearch 32 Hình 2.39 Mở file cấu hình ElasticSearch 32 Hình 2.40 Gán đại IP Port cho file cấu hình 33 Hình 2.41 Khởi động dịch vụ Elasticsearch 33 Hình 2.42 Cài đặt Logstash 34 Hình 2.43 Mở file cấu hình Logstash 34 Hình 2.44 Lệnh cài đặt Kibana 35 Hình 2.45 Lệnh mở file cấu hình Kibana 36 Hình 2.46 Nội dung cấu hình 36 Hình 2.47 Cập nhật khởi chạy Kibana .37 Hình 2.48 Cấu hình liệu đầu vào 41 Hình 2.49 Chạy file cấu hình Logstash 42 Hình 2.50 Chạy Access Log 42 Hình 2.51 Giao diện Kibana Log FTP 43 Hình 2.52 Top 10 phương thức truy cập FTP nhiều 44 Hình 2.53 Top 10 thời gian có lượt truy cập FTP cao 44 Hình 2.54 Top 20 trạng thái hoạt động FTP 45 Hình 2.55 Top địa IP truy cập FTP nhiều 46 Hình 2.56 Bảng điều khiển nội dung phân tích FTP 46 Hình 2.57 Cấu hình liệu đầu vào 47 Hình 2.58 Chạy file cấu hình Logstash 48 SVTH: Trần Văn Lợi_Huỳnh Thanh Cường TRIỂN KHAI PHÂN TÍCH FILE LOG TRÊN WINDOWS SERVER 2012 Hình 2.59 Chạy Access log 48 Hình 2.60 Giao diên Kibana phân tích Log Firewall 49 Hình 2.61 Giao thức truy cập Firewall 50 Hình 2.62 Bảng quản lý log Firewall 50 Hình 2.63 Top 10 dst_ip_firewall 51 Hình 2.64 Top 20_s_port_firewall .52 Hình 2.65 Top 20_src_ip_firewall 52 SVTH: Trần Văn Lợi_Huỳnh Thanh Cường TRIỂN KHAI PHÂN TÍCH FILE LOG TRÊN WINDOWS SERVER 2012 CHƯƠNG CƠ SỞ LÝ THUYẾT 1.1 Giới thiệu đề tài 1.1.1 Bối cảnh thực đề tài Hiện nay, với xu phát triển kỷ lĩnh vực công nghệ thông tin, xâm nhập vào lĩnh vực đời sống người song song với đó, phải quản lý tốt file hệ thống máy chủ web máy chủ proxy để phát kịp thời, ngăn chặn nguy tiềm ẩn từ hoạt động web Trước đó, nhóm chúng em triển khai phân tích file log Web Apache công cụ ELK Tuy nhiên, hệ thống có nhiều loại log khác đòi hỏi nhiều hướng phát triển phù hợp có giá trị thực tế ứng dụng vào thực tiễn Chính thế, chúng em chọn “Triển khai phân tích file log Windows Server 2012” làm đề tài đồ án chuyên đề 1.1.2 Mục đích thực đề tài Triển khai phân tích, đánh giá trạng thái hoạt động quản lý tốt filelog tạo máy chủ có chứa tất thông tin hoạt động máy chủ 1.2 Giới thiệu file log File log tập tin tạo máy chủ web máy chủ proxy có chứa tất thông tin hoạt động máy chủ đó, thông tin người truy cập, thời gian khách viếng thăm, địa IP, liệu truy vấn File log có nhiều tác dụng webmaster phân tích xem người truy cập vào phần trang web nhiều chuyển sang xem mục trang web Log bao gồm ghi hệ thống, ghi ứng dụng, ghi bảo mật Hệ thống vận hành bảo trì, nhà phát triển đăng nhập cho phần cứng máy chủ phần mềm thông tin, lý cho việc kiểm tra lỗi cấu hình lỗi xảy Phân tích log thường hiểu máy chủ, hiệu suất, bảo mật để có biện pháp khắc phục kịp thời 1.2.1 Log FTP FTP (viết tắt File Transfer Protocol dịch “Giao thức truyền tập tin”) Thường dùng để trao đổi tập tin qua mạng lưới truyền thông dùng giao thức TCP/IP (chẳng hạn Internet – mạng diện rộng – mạng nội bộ) Hoạt động FTP cần có hai máy tính, máy chủ máy khách) Máy chủ FTP, dùng chạy phần mềm cung cấp dịch vụ FTP, gọi trình chủ, lắng nghe yêu cầu dịch vụ máy tính khác mạng lưới SVTH: Trần Văn Lợi_Huỳnh Thanh Cường TRIỂN KHAI PHÂN TÍCH FILE LOG TRÊN WINDOWS SERVER 2012 Log FTP sau: Hình 1.1 Nội dung file FTP 1.2.2 Log Firewall Windows Firewall log tập tin văn thô xem thông qua trình soạn thảo Notepad trình soạn thảo văn mặc định cho file log Windows Firewall Tùy thuộc vào kích thước giới hạn đặt cho tập tin thời gian kiện xảy hệ thống Log Firewall có nội dung sau: Hình 1.2 Nội dung file log Firewall SVTH: Trần Văn Lợi_Huỳnh Thanh Cường TRIỂN KHAI PHÂN TÍCH FILE LOG TRÊN WINDOWS SERVER 2012 1.3 Giới thiệu công cụ ELK (Elasticsearch + Logstash + Kibana) 1.3.1 Giới thiệu Elasticsearch Elasticsearch công cụ mã nguồn mở tìm kiếm toàn văn phân tích khả mở rộng Nó cho phép bạn lưu trữ, tìm kiếm phân tích khối lượng lớn liệu cách nhanh chóng gần thời gian thực.Nó thường sử dụng công cụ / công nghệ mà quyền hạn ứng dụng có tính tìm kiếm phức tạp yêu cầu Elasticsearch xây dựng công cụ tìm kiếm toàn văn dựa công cụ tìm kiếm Apache Lucene, viết Java Các tính chính: - Phân tích thời gian - Phân phối lưu trữ tập tin theo thời gian thực, lĩnh vực lập mục - Tài liệu định hướng, tất đối tượng tất tài liệu - Tính sẵn sàng cao, dễ dàng mở rộng, hỗ trợ cluster (Cluster), phân mảnh nhân rộng (Shards sao) - Giao diện thân thiện, hỗ trợ cho JSON 1.3.2 Giới thiệu Logstash Logstash công cụ mã nguồn mở cho việc thu thập, phân tích, lưu trữ ghi để sử dụng tương lai Sử dụng ngôn ngữ Jruby Các tính chính: - Bạn truy cập vào liệu - Có thể kết hợp với loạt ứng dụng bên - Hỗ trợ mở rộng đàn hồi Các thành phần chính: - Shipper: gửi liệu đăng nhập - Broker: thu thập liệu, tích hợp mặc định Redis - Dữ liệu Indexer: viết SVTH: Trần Văn Lợi_Huỳnh Thanh Cường TRIỂN KHAI PHÂN TÍCH FILE LOG TRÊN WINDOWS SERVER 2012 Hình 1.3 Các thành phần Logstash 1.3.3 Giới thiệu Kibana Kibana công cụ phân tích mã nguồn mở trực quan thiết kể để làm việc với Elasticsearch Kibana có giao diện web sử dụng để tìm kiếm, xem tương tác với liệu lưu trữ ghi mà Logstash lập mục Cho phép bạn tạo chia sẻ nhanh chóng biểu đồ động hiển thị thay đổi để Elasticsearch truy vấn thời gian thực Kibana dựa Apache giấy phép mã nguồn mở, sử dụng ngôn ngữ JavaScript Nó tìm thấy số Elasticsearch, liệu tương tác tạo loạt kích thước bảng FIG Có thể dễ dàng thực phân tích liệu tiên tiến hiển thị liệu bạn loạt biểu đồ, bảng biểu đồ Logstash-forwarder (tên gọi trước Lumberjack) nhiều "shipper" dùng để đẩy log đến server log tập trung, có nhiều tính đặc biệt sau: - Nhẹ dễ sử dụng (viết Go, không cần JVM) - Sử dụng mật mã để truyền liệu đường truyền SVTH: Trần Văn Lợi_Huỳnh Thanh Cường TRIỂN KHAI PHÂN TÍCH FILE LOG TRÊN WINDOWS SERVER 2012 Sau tìm đến dòng DOCUMENT_TYPE bỏ ghi thay đổi giá trị thành DOCCUMENT_TYPE: syslog Điều quy định bảng ghi Prospector kiểu syslog Tìm nhận xét phần đầu Logstash bỏ cách xóa dấu # phía trước Cấu hình Filebeat để kết nối với Logstash ELK Server cổng 5044 Thêm vào filebeat.yml dòng lệnh: bulk_max_size: 1024 Tiếp theo, tìm tới phần tls bỏ ghi dòng xác định certificate_authorities thay đổi giá trị sau thay đổi ta được: tls: # List of root certificates for HTTPS server verifications certificate_authorities: ["/etc/pki/tls/certs/logstash-forwarder.crt"] Lưu lại thoát Khởi động lại Filebeat: $ sudo service filebeat restart $ sudo update-rc.d filebeat defaults 95 10 SVTH: Trần Văn Lợi_Huỳnh Thanh Cường 40 TRIỂN KHAI PHÂN TÍCH FILE LOG TRÊN WINDOWS SERVER 2012 2.6 Triển khai phân tích file log FTP 2.6.1 Cài đặt, cấu hình log FTP Tạo file với tên 10-logstash.conf với lệnh # vi /etc/logstash/conf.d/10-logstash.conf > Enter Ta tạo lọc cho logstash phân tích file log ftp theo thông tin file log Hình 2.48 Cấu hình liệu đầu vào Sau cấu hình xong ta lưu lại thoát file cấu hình Để logstash phân tích file log ftp ta chạy lệnh # /opt/logstash/bin/logstash – f /etc/logstash/conf.d/10-logstash.conf để chạy file cấu hình logstash SVTH: Trần Văn Lợi_Huỳnh Thanh Cường 41 TRIỂN KHAI PHÂN TÍCH FILE LOG TRÊN WINDOWS SERVER 2012 Hình 2.49 Chạy file cấu hình Logstash Khi xuất logstash starup completed ta dán đoạn file log ftp vừa copy vào Bấm Enter thông tin file log ftp thị Hình 2.50 Chạy Access Log SVTH: Trần Văn Lợi_Huỳnh Thanh Cường 42 TRIỂN KHAI PHÂN TÍCH FILE LOG TRÊN WINDOWS SERVER 2012 2.6.2 Phân tích Kibana giúp ta phân tích file log cách thuận tiện Để mở kibana ta vào trình duyệt web gõ địa ip máy ELK với port 5601 Màn hình kibana xuất kèm theo thông tin file log ta vừa đưa vào logstash Hình 2.51 Giao diện Kibana Log FTP Để xem thông tin phương thức đăng nhập vào server nhiều ta vào Visualize để qua chế độ đồ thị Ta chọn biểu đồ dạng đường để xem thông tin Ta kích vào X-Axis Ở mục Aggregation ta chọn Terms Ở mục Field ta chọn Cs_method.raw Ở mục Order By chọn metric: count Ở mục Order chọn Size với Descending 10 Bấm nút Enter để xem thông tin SVTH: Trần Văn Lợi_Huỳnh Thanh Cường 43 TRIỂN KHAI PHÂN TÍCH FILE LOG TRÊN WINDOWS SERVER 2012 Hình 2.52 Top 10 phương thức truy cập FTP nhiều Để xem thời gian máy trạm truy cập vào hệ thống ta kích vào Buckets Ở mục Aggregation ta chọn Terms Ở mục Field ta chọn date _time.raw Ở mục Order By chọn metric: count Ở mục Order chọn Size với Descending 10 Bấm nút Enter > xuất thời gian client truy cập vào máy Hình 2.53 Top 10 thời gian có lượt truy cập FTP cao SVTH: Trần Văn Lợi_Huỳnh Thanh Cường 44 TRIỂN KHAI PHÂN TÍCH FILE LOG TRÊN WINDOWS SERVER 2012 Để xem trạng thái file log ftp dạng biểu đồ cột dọc, Ở mục Aggregation ta chọn Terms Ở mục Field ta chọn Cs_status.raw Ở mục Order By chọn metric: count Ở mục Order chọn Size với Descending 20 Bấm nút Enter để xem thông tin Hình 2.54 Top 20 trạng thái hoạt động FTP Để xem thông tin top ip có truy cập lớn vào ftp server Ở mục Aggregation ta chọn Terms Ở mục Field ta chọn C_ip.raw Ở mục Order By chọn metric: count Ở mục Order chọn Size với Descending Bấm nút Enter để xem thông tin SVTH: Trần Văn Lợi_Huỳnh Thanh Cường 45 TRIỂN KHAI PHÂN TÍCH FILE LOG TRÊN WINDOWS SERVER 2012 Hình 2.55 Top địa IP truy cập FTP nhiều Để thuận tiện cho việc phân tích tổng thể file log ftp, ta vào Dashboard add thông tin log vừa lưu Hình 2.56 Bảng điều khiển nội dung phân tích FTP SVTH: Trần Văn Lợi_Huỳnh Thanh Cường 46 TRIỂN KHAI PHÂN TÍCH FILE LOG TRÊN WINDOWS SERVER 2012 2.7 Triển khai phân tích file log Firewall 2.7.1 Cài đặt, cấu hình log Firewall Trước tiên ta tạo file 22_config_firewall.conf lệnh # vi /etc/logstash/conf.d/22_config_firewall.conf nhằm để tạo lọc phân tích file log firewall Cấu hình cho file vừa tạo Hình 2.57 Cấu hình liệu đầu vào Sau lưu thoát file Để logstash phân tích file log firewall ta chạy lệnh # /opt/logstash/bin/logstash – f /etc/logstash/conf.d/22_config_firewall.conf để chạy file cấu hình logstash SVTH: Trần Văn Lợi_Huỳnh Thanh Cường 47 TRIỂN KHAI PHÂN TÍCH FILE LOG TRÊN WINDOWS SERVER 2012 Hình 2.58 Chạy file cấu hình Logstash Khi xuất logstash starup completed ta dán đoạn file log firewall vừa copy vào Bấm Enter thông tin file log firewall thị Hình 2.59 Chạy Access log SVTH: Trần Văn Lợi_Huỳnh Thanh Cường 48 TRIỂN KHAI PHÂN TÍCH FILE LOG TRÊN WINDOWS SERVER 2012 2.7.2 Phân tích Để thuận lợi cho việc phân tích nội dung file log firewall ta dùng Kibana để thị thông tin cần phân tích Hình 2.60 Giao diên Kibana phân tích Log Firewall Để xem giao thức máy trạm truy cập vào hệ thống ta kích vào Buckets Ở mục Aggregation ta chọn Terms Ở mục Field ta chọn protocol.raw Ở mục Order By chọn metric: count Ở mục Order chọn Size với Descending Bấm nút Enter > xuất tên giao thức bên trái số lượng giao thức xuất bên phải bảng SVTH: Trần Văn Lợi_Huỳnh Thanh Cường 49 TRIỂN KHAI PHÂN TÍCH FILE LOG TRÊN WINDOWS SERVER 2012 Hình 2.61 Giao thức truy cập Firewall Để xem toàn thông tin kích thước file log đưa vào ELK Ta vào địa máy elk với port 9200 ta xem thời gian, trạng thái, kích thước file log đưa vào máy ELK Hình 2.62 Bảng quản lý log Firewall Để xem dst_ip máy trạm truy cập vào hệ thống ta kích vào Buckets Ở mục Aggregation ta chọn Terms Ở mục Field ta chọn dst_ip.raw SVTH: Trần Văn Lợi_Huỳnh Thanh Cường 50 TRIỂN KHAI PHÂN TÍCH FILE LOG TRÊN WINDOWS SERVER 2012 Ở mục Order By chọn metric: count Ở mục Order chọn Size với Descending 10 Bấm nút Enter > xuất tóp 10 địa ip, dạng biểu đồ hình tròn cho biết số lần truy cập ip vào hệ thống Hình 2.63 Top 10 dst_ip_firewall Để xem máy trạm truy cập vào hệ thống cổng ta kích vào Buckets Ở mục Aggregation ta chọn Terms Ở mục Field ta chọn s_port.raw Ở mục Order By chọn metric: count Ở mục Order chọn Size với Descending 20 Bấm nút Enter > xuất tóp 20 port, dạng biểu đồ hình cột cho biết số lần truy cập vào hệ thống qua cổng nhiều SVTH: Trần Văn Lợi_Huỳnh Thanh Cường 51 TRIỂN KHAI PHÂN TÍCH FILE LOG TRÊN WINDOWS SERVER 2012 Hình 2.64 Top 20_s_port_firewall Để xem Src_ip máy trạm truy cập vào hệ thống ta kích vào Buckets Ở mục Aggregation ta chọn Terms Ở mục Field ta chọn Src_ip.raw Ở mục Order By chọn metric: count Ở mục Order chọn Size với Descending 20 Bấm nút Enter > xuất tóp 20 địa ip, dạng biểu đồ đường cho biết số lần truy cập ip vào hệ thống Hình 2.65 Top 20_src_ip_firewall SVTH: Trần Văn Lợi_Huỳnh Thanh Cường 52 TRIỂN KHAI PHÂN TÍCH FILE LOG TRÊN WINDOWS SERVER 2012 Để xem thời gian máy trạm truy cập vào hệ thống ta kích vào Buckets Ở mục Aggregation ta chọn Terms Ở mục Field ta chọn date_time.raw Ở mục Order By chọn metric: count Ở mục Order chọn Size với Descending 20 Bấm nút Enter > xuất tóp 20 địa ip, dạng biểu đồ miền cho biết thời gian có lượt truy cập vào hệ thống nhiều Hình 2.66 Top 20 mốc thời gian xảy kiện Firewall Để xem trạng thái filelog ta vào settings > Status Hình 2.67 Trạng thái phân tích Log Firewall SVTH: Trần Văn Lợi_Huỳnh Thanh Cường 53 TRIỂN KHAI PHÂN TÍCH FILE LOG TRÊN WINDOWS SERVER 2012 CHƯƠNG 3: KẾT LUẬN 3.1 Kết luận chung kết đạt Qua thời gian nghiên cứu, tìm hiểu nội dung đề tài cho thấy tầm quan trọng việc phân tích, đánh giá hiệu trình hoạt động dịch vụ hệ thống Windows Server 2012.Việc giúp người đánh giá hoạt động hệ thống dẫn đến khâu quản lý dễ dàng hiệu Đồng thời, phát kịp thời hoạt động bất thường tiềm ẩn làm suy giảm khả hoạt động hệ thống có việc Hacker thực Thu tập thông tin hệ thống > Scanning -> Xâm nhập có quyền điều khiển hệ thống > Duy trì quyền điều khiển hệ thống -> Xoá dấu vết; Cài phần mềm gián điệp spyware, keylogger, backdoor, sniffer; công từ chối dịch vụ DDoS – Botnet,… từ đưa định, giải pháp, cảnh báo kịp thời đảm bảo an toàn cho hệ thống liệu người dùng Do thời gian thực hiện, điều kiện để triển khai đề tài, việc sưu tầm tài liệu kiến thức thân hạn chế Vì vậy, Đồ án chuyên đề nhóm chúng em nhiều thiếu sót, chưa đạt kết mong muốn Em mong quý thầy cô xem xét, đóng góp ý kiến giúp đỡ nhóm hoàn thiện tốt đề tài 3.2 Đánh giá mức độ hoàn thành Sau thời gian thực hiên đề tài nhóm chúng em tiến hành cài đặt, cấu hình phân tích thành công nội dung số File log hệ thống Windows Server 2012 Cụ thể Log FTP Log Firewall SVTH: Trần Văn Lợi_Huỳnh Thanh Cường 54 [...]... khi quá trình cài đặt hoàn thành ta vào ftp với địa chỉ của máy windows server 2012 Hình 2.24 Từ máy client ta truy cập vào ftp với địa chỉ ip của máy server SVTH: Trần Văn Lợi_Huỳnh Thanh Cường 22 TRIỂN KHAI PHÂN TÍCH FILE LOG TRÊN WINDOWS SERVER 2012 Ta có thể cài đặt nhiều máy client để có thể phân tích được nhiều thông tin file log hơn Tại máy server ta chọn vào view logs để xem nội dung của file... Windows Server 2012 Hình 2.4 Chọn hệ điều hành và phiên bản.\ SVTH: Trần Văn Lợi_Huỳnh Thanh Cường 12 TRIỂN KHAI PHÂN TÍCH FILE LOG TRÊN WINDOWS SERVER 2012 Bước 4: Đặt tên cho máy và chọn vị trí lưu cài đặt Hình 2.5 Đặt tên máy Bước 5: Chọn ngôn ngữ cài đặt, múi giờ, ngôn ngữ bàn phím Hình 2.6 Ngôn ngữ cài đặt, múi giờ, ngôn ngữ bàn phím SVTH: Trần Văn Lợi_Huỳnh Thanh Cường 13 TRIỂN KHAI PHÂN TÍCH... Elasticsearch: $ sudo vi /etc/elasticsearch/elasticsearch.yml Hình 2.39 Mở file cấu hình ElasticSearch SVTH: Trần Văn Lợi_Huỳnh Thanh Cường 32 TRIỂN KHAI PHÂN TÍCH FILE LOG TRÊN WINDOWS SERVER 2012 Hình 2.40 Gán đại chỉ IP và Port cho file cấu hình Khởi động lại dịch vụ: $ sudo service elasticsearch restart Hình 2.41 Khởi động dịch vụ Elasticsearch SVTH: Trần Văn Lợi_Huỳnh Thanh Cường 33 TRIỂN KHAI PHÂN TÍCH