ĐỒ ÁN MƠN HỌC ĐỀ TÀI: TÌM HIỂU VÀ TRIỂN KHAI PHÂN TÍCH FILELOG TRÊN WINDOWS SERVER GIÁO VIÊN HƯỚNG DẪN: TS VŨ ĐỨC THỊNH SINH VIÊN THỰC HIỆN: TRƯƠNG VĂN LÃM HUỲNH TẤN TRẠNG I TỔNG QUAN VỀ ĐỀ TÀI NỘI DUNG BÁO CÁO II III CƠ SỞ LÝ THUYẾT THỰC HIỆN DEMO TỔNG QUAN VỀ ĐỀ TÀI MỤC TIÊU CỦA ĐỀ TÀI  Hiểu FileLog  Xây dựng hệ thống mơ hình triển khai  Triển khai xây dựng dịch vụ Web server, FTP server, DHCP  Lấy phân tích FileLog FILELOG CƠ SỞ LÝ THUYẾT THỰC HIỆN CHƯƠNG I: GIỚI THIỆU TỔNG QUÁT I Sơ lược FileLog II Lợi ích áp dụng FileLog vào thực tế  Giúp người đánh giá, phân tích hoạt động diễn hệ thống  Kịp thời phát mối nguy hiểm, hoạt động bất thường, làm suy giảm khả hệ thống có “Hacker”: Cài đặt phần mềm gián điệp, truy tìm dấu vết, xóa dấu vết, trì quyền điều khiển hệ thống, Scanning,… Biểu tượng tài liệu nhật kí CƠ SỞ LÝ THUYẾT THỰC HIỆN CHƯƠNG II: CÁC DỊCH VỤ LIÊN QUAN VỀ ĐỀ TÀI I Bộ công cụ ELK Giới thiệu Elasticsearch  Elasticsearch cơng cụ tìm kiếm dựa mã nguồn mỡ Lucene Nó hoạt động theo tìm kiếm dạng phân tán Elasticsearch Được phát triển Java công cụ tìm kiếm phổ biến *Các tính chính:  Phân tích thời gian  Giao diện thân thiện, hỗ trợ cho JSO  Tài liệu định hướng, tất đối tượng tất tài liệu  Phân phối lưu trữ tập tin theo thời gian thực, lĩnh vực lập mục CƠ SỞ LÝ THUYẾT THỰC HIỆN CHƯƠNG II: CÁC DỊCH VỤ LIÊN QUAN VỀ ĐỀ TÀI  Giới thiệu Logstash Giới thiệu Kibana Logstash công cụ mã nguồn mở thu thập liệu có khả liên hợp Kibana phát triển riêng cho ứng dụng ELK, thực hiển chuyển đổi truy vấn theo thời gian thực Logstash hợp liệu từ nguồn khác người dùng thành câu truy vấn mà Elasticsearch thực Kết chuẩn hóa liệu phần xử lý hiển thị nhiều cách: theo dạng biểu đồ Logstash Kibana CƠ SỞ LÝ THUYẾT THỰC HIỆN CHƯƠNG II: CÁC DỊCH VỤ LIÊN QUAN VỀ ĐỀ TÀI II Các dịch vụ liên quan khác Dịch vụ FTP (File Transfer Protocol)  FTP từ viết tắt File Transfer Protocol Giao thức xây dựng dựa chuẩn TCP/IP, FTP cung cấp chế truyền tin dạng tập tin (file) thông qua mạng TCP/IP, FTP dịch vụ đặc biệt dùng đến 02 cổng: cổng 20 dùng để truyền liệu (data port) cổng 21 dùng để truyền lệnh (command port) CƠ SỞ LÝ THUYẾT THỰC HIỆN CHƯƠNG II: CÁC DỊCH VỤ LIÊN QUAN VỀ ĐỀ TÀI Dịch vụ Web Server *Giới thiệu giao thức HTTP  HTTP giao thức cho phép trình duyệt Web Browser servers giao tiếp với Nó chuẩn hóa thao tác mà Web server phải làm  HTTP bắt đầu giao thức đơn giản giống với giao thức chuẩn khác Internet, thông tin điều khiển truyền dạng văn thơ thơng qua kết nối TCP Do đó, kết nối HTTP thay cách dùng lệnh “telnet” chuẩn  Cổng 80 cổng mặc định dành cho Web server “lắng nghe” kết nối gửi đến CƠ SỞ LÝ THUYẾT THỰC HIỆN CHƯƠNG III: CÁCH THỨC HOẠT ĐỘNG CỦA BỘ CÔNG CỤ ELK  Đầu tiên, log đưa đến Logstash (Thông qua nhiều đường, ví dụ server gửi UDP request chứa log tới URL Logstash, Beat đọc file log gửi lên Logstash)  Logstash sẽ đọc log này, thêm thông tin thời gian, IP, parse liệu từ log (server nào, độ nghiêm trọng, nội dung log) ra, sau ghi xuống database là Elasticsearch  Khi muốn xem log, người dùng vào URL của Kibana Kibana đọc thông tin log trong Elasticsearch, hiển thị lên giao diện cho người dùng query xử lý Cơ chế hoạt động ELK CƠ SỞ LÝ THUYẾT THỰC HIỆN CHƯƠNG III: CÁCH THỨC HOẠT ĐỘNG CỦA BỘ CÔNG CỤ ELK *Mơ hình triển khai DEMO THE END! THANKS! ... ĐỀ TÀI MỤC TIÊU CỦA ĐỀ TÀI  Hiểu FileLog  Xây dựng hệ thống mơ hình triển khai  Triển khai xây dựng dịch vụ Web server, FTP server, DHCP  Lấy phân tích FileLog FILELOG CƠ SỞ LÝ THUYẾT THỰC... Elasticsearch cơng cụ tìm kiếm dựa mã nguồn mỡ Lucene Nó hoạt động theo tìm kiếm dạng phân tán Elasticsearch Được phát triển Java cơng cụ tìm kiếm phổ biến *Các tính chính:  Phân tích thời gian ... THUYẾT THỰC HIỆN CHƯƠNG I: GIỚI THIỆU TỔNG QUÁT I Sơ lược FileLog II Lợi ích áp dụng FileLog vào thực tế  Giúp người đánh giá, phân tích hoạt động diễn hệ thống  Kịp thời phát mối nguy hiểm,