- Giám sát hiệu năng phần cứng máy chủ:
Sau khi đã cài đặt và cấu hình Metricbeat, ta có thể theo dõi hiệu năng của máy chủ thông qua dashboard.
Ngoài ra ta đã đặt các mức ngưỡng cảnh báo: - Khi CPU Usage vượt trên 70%
- Memory Usage vượt trên 70% - Disk vượt trên 70%
Khi các giá trị trên vượt ngưỡng, hệ thống sẽ gửi mail cảnh báo cho quản trị viên thông qua mailbox. Qua đó ta có thể kiểm soát được hiệu năng của máy chủ, tránh tình trạng bị chậm hoặc treo máy chủ vào giờ cao điểm. Ở dưới đây là hình ảnh khi giám sát hiệu năng phần cứng cũng như demo cảnh báo sẽ được gửi khi CPU vượt quá 70%.
Hình 3.2: Giám sát hiệu năng phần cứng
Hình 3.3: Mail gửi về khi có Host vượt quá ngưỡng CPU 70%
- Giám sát lưu lượng, băng thông:
Sau khi cài đặt và cấu hình Packetbeat cũng như cấu hình Switch và Router để đẩy log về máy chủ ELK như ở phần trên, ta đã có thể giám sát lưu lượng băng thông tại các máy chủ: Tổng lưu lượng, Top các host tạo/nhận traffic,... hay tình trạng hoạt động của Switch, Router: Cổng up/down, các sự cố về đường truyền,...
Theo nhu cầu tại trường Đại học Hà Nội, để có thể tìm ra phòng ban chiếm nhiều băng thông ta sẽ lần theo ip đang chiếm nhiều băng thông nhất. Ta sẽ cài đặt Packetbeat tại các dải mạng có trong trường. Ở đây trong demo ta sẽ cài trên dải mạng hệ thống máy chủ để tìm xem máy chủ nào đang chiếm dụng nhiều băng thông nhất.
Hình 3.4: Danh sách các máy tạo nhiều traffic nhất
Theo hình phía trên ta hoàn toàn có thể thấy ip 10.10.10.231 đang tạo ra nhiều traffic gửi đi nhất (tầm 4,5 triệu bytes mỗi 30 giây).
Hình 3.5: Danh sách các máy nhận nhiều traffic nhất
Và theo như hình này thì máy 10.10.10.231 cũng là máy nhận được nhiều traffic nhất. Vậy khi ta sử dụng packetbeat ta hoàn toàn có thể tìm ra các địa chỉ ip chiếm nhiều băng thông, từ đó tìm ra các phòng ban chiếm nhiều băng thông nhất để có kế hoạch thích hợp.
- Giám sát người dùng
Sau khi cài đặt và cấu hình Winlogbeat, ta có thể giám sát các hành động đăng nhập, đăng xuất của người dùng trên dịch vụ Active Directory.
Theo như hình 3.6 ta có thể thấy biểu đồ số lần đăng nhập lỗi theo thời gian. Ngoài ra bên dưới còn có các bảng biểu thống kê tên đăng nhập cũng như số lần đăng nhập lỗi. Qua đó ta có thể giám sát việc truy cập của người dùng vào hệ thống Active Diractory của nhà trường.
- Giám sát dịch vụ:
Sau khi cài đặt và cấu hình Metricbeat, ta có thể giám sát cả các dịch vụ web chạy bằng Apache hay Nginx như số phiên, tổng phiên, tổng dung lượng đã truyền tải,....
Hình 3.7: Giám sát dịnh vụ web apache
Ở hình 3.7 ta có thể giám sát thời gian mà trang web đã hoạt động (Uptime), tổng lượng dữ liệu mà trang web đã truyền tải (Total kbytes) cũng như số phiên truy cập vào trang web (Total accesses). Ta có thể đặt ngưỡng phiên truy cập chẳng hạn trong vòng 5s nếu có hơn 1000 phiên truy cập thì sẽ có cảnh báo thông qua email.
Ngoài ra Metricbeat cũng có Module giám sát tình trạng (Start/Stop) của dịch vụ chạy trên hệ thống Windows (services.msc).
Hình 3.8: Giám sát tình trạng hoạt động của các dịch vụ trên Windows
- Giám sát Database
Metricbeat có thể giám sát database sau khi cài đặt. Các đầu mục có thể giám sát là: lượng người dùng, lượng tương tác (các hành động truy vấn) của người dùng,... Ở đây ta sẽ demo giám sát database MySQL.
Hình 3.9: Giám sát các hàng động truy vấn (MySQL)
Ta có thể giám sát các hành động: Select, Insert, Update và Delete trong MySQL theo thời gian như trong biểu đồ ở hình 3.9.
Hình 3.10: Giám sát số lượng kết nối tới Database (MySQL)
Hay ở hình 3.10 trên ta có thể theo dõi số lượng kết nối của người dùng tới MySQL theo thời gian.
- Giám sát hệ điều hành
Sau khi cài đặt và cấu hình Winlogbeat với hệ điều hành Windows, Filebeat với hệ điều hành Linux, ta có thể giám sát log hệ điều hành của Windows, log của Windows Defender Antivirus hay log của hệ điều hành Linux.
Hình 3.11: Giám sát log hệ điều hành Windows
Như trong hình 3.11 ta đang giám sát số lượng log của hệ điều hành Windows với các log chính như: System, Application và Security. Để có thể nhìn rõ log hơn ta có thể vào Discover, mục Winlogbeats và sử dụng bộ lọc để lọc ra các log mình cần. Với log phát hiện virus của Windows Defender Antivirus (log Security), ta có thể search và cảnh báo khi log có chứa Event ID là 1116 (nguồn tại tài liệu của Microsoft [19])
Hình 3.12: Giám sát log Windows Defender Antivirus
Hình 3.13: Giám sát log hệ điều hành Linux (/var/log/...)
Còn ở hình 3.13, ta đã giám sát được log trên hệ điều hành Linux trong thư mục /var/log.
- Giám sát an ninh:
Sau khi cấu hình Firewall Fortinet đẩy syslog về Logstash, ta đã có thể giám sát các sự kiện diễn ra bên trong firewall: Traffic Log (các luồng đi vào/ra) hay Event log (các sự kiện như chặn gói tin).
Hình 3.15: Giám sát log được đẩy về từ Fortinet (Traffic log)
Ta có thể sử dụng bộ lọc theo từ khóa: Traffic hoặc Event để có thể tìm kiếm các log mà ta cần theo dõi.