Tiếp tục loạt nội dung bài viết về khối hệ thống giám sát bình yên mạng, trong các bài tới tôi sẽ giới thiệu tới các bạn các phương tiện, sản phẩm giám sát bình yên mạng tiêu biểu – đó là Splunk.

Splunk – Dụng cụ giám sát bình yên mạng

Chúng ta có thể tham khảo thêm nội dung bài viết Tổng quan về một khối hệ thống giám sát bình yên mạng. Dụng cụ giám sát bình yên mạng trước tiên mà tôi sẽ nhắc đến là Splunk: Dụng cụ toàn năng cho những Chuyên Viên giám sát bình yên mạng. Splunk là một phần mềm giám sát bình yên mạng dựa trên sức mạnh của việc phân tích Log. Splunk thực hiện các công việc tìm kiếm, giám sát và phân tích tài liệu logs lớn được sinh ra từ các ứng dụng, các khối hệ thống và các thiết bị hạ tầng mạng. Nó có thể thao tác tốt với nhiều loại dịnh dạng tài liệu khác nhau (Syslog, csv, apache-log, access_combine …). Splunk được xây dựng dựa trên nền tảng Lucene and MongoDB với một giao diện web rất trực quan.

Splunk Enterprise

CHÍNH SÁCH BẢN QUYỀN: Splunk cung cấp 2 bộ sản phẩm miễn phí và trả phí

• Sản phẩm trả phí: Có tất cả những chức năng của Splunk, không hạn chế kích thước tài liệu.
• Sản phẩm miễn phí: Hạn chế một số chức năng, hạn chế khối lượng tài liệu mỗi ngày là 500MB. Gồm có các chức năng: Đánh chỉ mục tài liệu, tìm kiếm trong thời kì thực, thống kế và kết xuất giải trình.

TÍNH NĂNG Định dạng Log: Splunk tương trợ hầu như tất cả những loại log của khối hệ thống, thiết bị hạ tầng mạng, phần mềm, Firewall, IDS/IPS, Log Sự kiện, Register của tương đối nhiều máy trạm… Các hình thức thu thập tài liệu: Splunk có thể thực hiện việc thu thập log từ rất nhiều nguồn khác nhau.

• Từ một file hoặc thư mục (kể cả file nén) trên server
• Qua các kết nối UDP, TCP từ các Splunk Server khác trong mô hình Splunk phân tán
• Từ các Sự kiện Logs, Registry của Windows…

Splunk cũng phối hợp rất tốt với những phương tiện thu thập log khác để tăng hiệu năng của khối hệ thống. Update tài liệu: Splunk update tài liệu liên tục khi có thay đổi trong thời kì thực. Hỗ trợ cho việc phát hiện và cảnh báo xác thực trong thời kì thực. Đánh chỉ mục tài liệu: Splunk được xây dựng trên Lucence, có thể đánh chỉ mục tài liệu với một khối lượng tài liệu rất lớn trong một khoảng tầm thời kì ngắn. Giúp việc tìm kiếm diễn ra nhanh chóng và thuận tiện. Tìm kiếm thông tin: Splunk thao tác làm việc rất tốt với tài liệu lớn và update liên tục. Nó cung cấp cơ chế tìm kiếm với một “Splunk Language” cực kỳ thông minh gồm có các từ khóa, các hàm và cấu trúc tìm kiếm giúp người sử dụng có thể truy xuất mọi thứ, theo rất nhiều tiêu chí từ tập tài liệu rất lớn. Những nhà quản trị mạng hạng sang và chuyên nghiệp thường gọi Splunk với cái tên “Splunk toàn năng” hay “Splunk as Google for Log files” để nói lên sức mạnh của Splunk. Giám sát bình yên mạng và cảnh báo: Splunk cung cấp cho tất cả những người dùng một cơ chế cảnh báo dựa trên việc tìm kiếm các thông tin do chính người sử dụng đưa ra. Khi có vấn đề liên quan tới khối hệ thống phù phù hợp với các tiêu chí mà người dùng đã đưa ra thì khối hệ thống sẽ cảnh báo ngay tới người dùng (cảnh bảo trực tiếp qua giao diện, giử E-Mail). Khắc phục sự cố: Splunk còn cung cấp một cơ chế tự động hóa khắc phục với những vấn đề xẩy ra bằng việc cấu hình để tự động hóa chạy các file Script mà người dùng tự tạo (Ví dụ như: Chặn IP, đòng Port …) khi có những cảnh báo xẩy ra. Hiển thị thông tin: Splunk cung cấp một cơ chế hiển thị trực quan giúp người sử dụng có thể dễ dàng hình dung về tình trạng của khối hệ thống, đưa ra các xét về khối hệ thống. Splunk còn từ động kết xuất ra các giải trình với nhiều loại định dạng một cách chuyên nghiệp. Phát triển: Cũng cung cấp các API tương trợ việc tạo các ứng dụng trên Splunk của người dùng. Một số bộ API tiêu biểu như Splunk SDK (Cung cấp các SDK trên nền tảng Python, Java, JS, PHP), Shep (Splunk Hadoop Intergration – Đây là việc phối hợp giữa Splunk và Hadoop), Shuttl (Là một sản phẩm tương trợ việc sao lưu tài liệu trong Splunk), Splunkgit (Giúp cho bạn hình dung tài liệu tốt hơn), Splunk power shell resource Kit (Bộ phương tiện tương trợ việc mở rộng và quản lý khối hệ thống). LƯU Ý: Splunk mạnh về khả năng phân tích và cảnh báo tuy nhiên nó lại không mạnh và không đảm bảo về việc thu thập và truyền tải log. Cụ thể là nó chưa tồn tại cơ chế bảo mật thông tin trên phố truyền, không phù phù hợp với những khối hệ thống yên cầu bảo mật thông tin cao. Để phát huy hết được sức mạnh của Splunk cần có thời kì tìm hiểu và sử dụng. Splunk chưa tồn tại cơ chế giúp tự động hóa phát hiện ra các tiến công hay các vấn đề từ phía bên ngoài. Những điều này phụ thuộc vào kinh nghiệm sử dụng và vốn hiểu biết về bảo mật thông tin của người quản trị. Đề triển khai được một khối hệ thống sử dụng Splunk hiệu quả tất cả chúng ta cũng phải có một khối hệ thống riêng, đó cũng là một trở ngại không nhỏ với những khối hệ thống có quy mô trung bình và nhỏ.

CÀI ĐẶT SPLUNK ENTERPRISE:

Splunk cung cấp các bộ tùy chỉnh thiết lập trên website splunk.com. Bạn chỉ việc tải bộ tùy chỉnh thiết lập của Spunk và tùy chỉnh thiết lập trên các khối hệ thống server riêng của mình. Splunk cung cấp 1 giao diện web rất trực quan để bạn thao tác và cấu hình mọi thứ. Bạn cũng luôn tồn tại thể tùy chỉnh thiết lập Splunk trên máy của mình để phân tích Log thuần tuý.

TRIỂN KHAI SPLUNK ENTERPRISE:

Với một khối hệ thống lớn để triển khai được Splunk tất cả chúng ta cần có một Server riêng để tập trung Log. Tuy nhiên Splunk làm không tốt việc tập trung Log từ các Server hay thiết bị khác. Vì thế tất cả chúng ta cần sử dụng một số phương tiện khác để thực hiện việc tập trung Log và về Splunk Server. Cụ thể là ta có thể kết phù hợp với syslog, Snare (for Windows), sử dụng qua Heroku …. Triển khai khối hệ thống phân tán: Splunk tương trợ người dùng thiết lập một khối hệ thống phân tán khi số lượng tài liệu là quá rộng vượt qua khả năng lưu trữ và xử lý của một máy.

Triển khai khối hệ thống giám sát bình yên mạng phân tán với Splunk Enterprise.