Trình xử lí các sự kiện bao gồm

Một phần của tài liệu XÂY DỰNG hệ THỐNG GIÁM sát AN NINH MẠNG và ỨNG PHÓ sự cố tập TRUNG sử DỤNG SPLUNK và FALCON ORCHESTRATOR (Trang 46 - 47)

- Quản lý hệ thống của ta trong thời gian thực, ngăn ngừa vấn đề xảy ra trước khi nó ảnh hưởng tới người dùng và có thêm kinh nghiệm xử

Q trình xử lí các sự kiện bao gồm

- Định dạng bộ kí tự cho dữ liệu đầu vào để phù hợp với định dạng mà Splunk có thể xử lý.

- Quá trình phân mảnh các sự kiện

- Gán nhãn thời gian cho các sự kiện.

- Trích xuất dữ liệu để tạo các trường đánh chỉ mục.

Định dạng bộ kí tự

Người quản trị có thể cấu hình ngơn ngữ cho nguồn dữ liệu. Splunk cung cấp một bộ kí tự để hỗ trợ cho việc chuẩn hóa quốc tế cho việc phát triển Splunk. Nó hỗ trợ nhiều ngơn ngữ bao gồm cả những định dạng không thuộc chuẩn UTF8.

Theo mặc định Splunk áp dụng bộ kí tự UTF-8 cho các nguồn. Nếu một nguồn dữ liệu không thuộc định dạng UTF-8 hoặc khơng phải tệp tin ASCII thì Splunk sẽ cố gắng chuyển đổi sang định dạng UTF-8 nếu không ta phải định nghĩa việc thiết lập kí tự bằng cách đặt từ khóa CHARSET trong file props.conf.

Các kí tự đã được hỗ trợ trong splunk bao gồm:

- UTF-8

- UTF-16LE

- Latin-1

- BIG5

39 TIEU LUAN MOI download : skknchat@gmail.com

- SHIFT-JIS

Xử lí các sự kiện nhiều hơn một dòng.

Một vài sự kiện chứa nhiều hơn một dòng Splunk sẽ tự động xử lý các sự kiện này theo mặc định. Nếu ta có các sự kiện nhiều dịng mà splunk xử lí khơng đúng yêu cầu cần phải cấu hình để thay đổi hành vi phá vỡ dòng của Splunk.

Cách mà Splunk giới hạn các sự kiện

- Phá vỡ dịng, Splunk sử dụng thuộc tính LINE_BREAKER để chia các luồng dữ liệu đến theo byte vào các dòng riêng biệt. Theo mặc định, LINE_BRACKER là bất kì dấu hiệu đánh dấu một dòng mới như ([\r\n]+).

- Sát nhập dòng, chỉ xảy ra khi thuộc tính SHOULD_LINEMERER

được thiết lập là “true”. Nó sẽ sáp nhập tất cả các dịng được tách ra trước đó thành các sự kiện.

Bước thứ hai sẽ khơng xảy ra nếu như thuộc tính SHOULD_LINEMERER đặt là false, khi đó các sự kiện sẽ là các dòng riêng lẻ được định nghĩa bởi LINE_BREAKER. Ở bước đầu tiên công việc diễn ra khá nhanh, nhưng bước thứ hai thì khá chậm. Bởi vậy nếu người quản trị là người có kinh nghiệm trong việc theo dõi log thì chỉ cần sử dụng bước thứ nhất để đảm bảo tốc độ phân tích log.

Ta có thể cấu hình việc xử lý sự kiện. Để làm được việc này thì trước tiên ta kiểm tra định dạng của các sự kiện. Tìm ra điểm khởi đầu và kết thúc của sự kiện đó. Sau đó, sửa file “props.conf”, thiết lập các thuộc tính cần thiết để cấu hình dữ liệu của mình.

Có hai cách để xử lý các sự kiện mà có nhiều dịng

Một phần của tài liệu XÂY DỰNG hệ THỐNG GIÁM sát AN NINH MẠNG và ỨNG PHÓ sự cố tập TRUNG sử DỤNG SPLUNK và FALCON ORCHESTRATOR (Trang 46 - 47)

Tải bản đầy đủ (DOCX)

(99 trang)
w