Luận văn thực hiện thử nghiệm một số nội dung sau đây - Cài đặt máy chủ giám sát tập trung ELK.
- Cài đặt Packetbeat giám sát lưu lượng băng thông máy chủ - Cài đặt Filebeat giám sát hệ điều hành Linux
- Cài đặt Winlogbeat giám sát truy cập người dùng đến Active Directory, hệ điều hành Windows, Windows Defender Antivirus.
- Cấu hình Switch, Router gửi syslog về máy chủ ELK. - Cấu hình Firewall Fortinet gửi syslog về máy chủ ELK. - Cấu hình ngưỡng, cảnh báo trong ELK.
Mục đích của thử nghiệm là thực hiện một số cài đặt phần mềm nhằm mô phỏng giải pháp giám sát tập trung thông qua bộ công cụ giám sát tập trung ELK. Từ đó có cơ sở để đề xuất triển khai trong thực tế.
(1) Cài đặt máy chủ giám sát tập trung ELK
Ta sẽ tiến hành cài đặt máy chủ ELK, nơi sẽ nhận lượng thông tin đổ về từ các máy thu thập, lưu trữ và phân tích chúng. Ta cần phải đảm bảo đường truyền mạng ổn định, các kết nối tới các máy giám sát đều không gặp trục trặc.
(2) Cài đặt Metricbeat giám sát hiệu năng phần cứng, dịch vụ, database
Ta sẽ cài đặt công cụ Metricbeat và cấu hình để thu thập các thông tin về hiệu năng máy chủ, dịch vụ web, database và gửi về máy chủ giám sát ELK để phân tích.
(3) Cài đặt Packetbeat giám sát lưu lượng băng thông máy chủ
Ta sẽ cài đặt công cụ Packetbeat và cấu hình để thu thập các thông tin về lưu lượng băng thông máy chủ và gửi về máy chủ giám sát ELK để phân tích.
(4) Cài đặt Filebeat giám sát hệ điều hành Linux
Ta sẽ cài đặt công cụ Filebeat và cấu hình để thu thập các thông tin về hệ điều hành Linux và gửi về máy chủ giám sát ELK để phân tích.
(5) Cài đặt Winlogbeat giám sát truy cập người dùng đến Active Directory, hệ điều hành Windows, Windows Defender Antivirus.
Ta sẽ cài đặt công cụ Winlogbeat và cấu hình để thu thập các thông tin về hệ điều hành Windows, truy cập của người dùng đến máy chủ Active Directory cũng như log khi máy bị nhiễm virus của Windows Defender Antivirus và gửi về máy chủ
(6) Cấu hình Switch, Router gửi syslog về máy chủ ELK
Switch, Router đã có sẵn hệ thống syslog lưu trữ sự kiện bên trong thiết bị. Nhiệm vụ của ta là cấu hình để Switch, Router có thể gửi syslog về cho máy chủ ELK. Ngoài ra, cần cấu hình máy chủ ELK để có thể nhận được syslog của Switch và Router gửi tới.
(7) Cấu hình Firewall Fortinet gửi syslog về máy chủ ELK
Thử nghiệm sẽ cấu hình syslog của Firewall Fortinet gửi về cho máy chủ ELK. Ta cũng cần phải cấu hình máy chủ ELK để nhận syslog của Firewall Fortinet.
(8) Cấu hình ngưỡng, cảnh báo trong ELK
Thử nghiệm sẽ trình bày cách cấu hình đặt ngưỡng, cảnh báo khi vượt ngưỡng trên máy chủ ELK thông qua Module X-pack. Tuy nhiên Module này cần phải mất phí và chỉ có 30 ngày dùng thử. Việc sử dụng trong thực tế tùy thuộc về quyết định của nhà trường.
Chi tiết của nội dung thử nghiệm, cách cài đặt và các bước tiến hành thử nghiệm được trình bày trong phần phụ lục.