Projekt

Obecné

Profil

Akce
Kopírovat odkaz

Úkol #11830

uzavřený

Servery - monitorování dění pomocí auditd

Přidáno uživatelem Martin Rejman před asi 6 roky(ů). Aktualizováno před více než 1 rok.

Stav:
Dokončen
Priorita:
Normální
Přiřazeno:
Andrej Ramašeuski
Kategorie:
-
Cílová verze:
-
Začátek:
20.06.2018
Uzavřít do:
% Hotovo:

100%

Odhadovaná doba:
40.00hod
Smlouva:

Popis

Prozkoumat možnosti auditování:

  • změn v systému
  • spouštěných příkazů
  • napojení na monitoring
  • archivace logů mimo samotný monitorovaný stroj
Akce
Kopírovat odkaz
 #1

Aktualizováno uživatelem Martin Rejman před téměř 6 roky(ů)

  • Přiřazeno nastaven na Andrej Ramašeuski
  • Stav změněn z Řešit později na Čeká se na řešitele

Prosím o posun, ať můžeme rozšířit přístupy na servery :-) Děkuji

Akce
Kopírovat odkaz
 #2

Aktualizováno uživatelem Andrej Ramašeuski před téměř 6 roky(ů)

  • Odhadovaná doba nastaven na 40.00hod
  • % Hotovo změněn z 0 na 30
  • Stav změněn z Čeká se na řešitele na V řešení (diskutuje se)

Provedl jsem zakladni pruzkum prioblematiky, vcetne testovani predevsim auditd (zmeny v systemu zrejme patri nekam jinam)

  1. logovani vsech prikazu - no problem. muzeme zprovoznit.
  2. prenos dat na logovaci server prostredky auditd (audisp) take neni zadny problem. muzeme zprovoznit.

a tady zacina to nejzajimavjesi - prace s logama, analyza, filtrace, alerty

jako prvni variantu jsem otestoval ELK https://www.elastic.co/elk-stack. monstrozni system v java, a pritom v free verzi nepodporuje ani tak zakladni vec jako pristupova prava k webovemu rozranim role, a t.d. graficke rozhrani kibana neni zadny zazrak. ale pekne obazky na webu :)

druha varianta - graylog2 https://www.graylog.org/ rozhodne komfortnejsi rozhrani nez kibana, nicmene - stejne zavisi ne elasticsearch. pro vlastni konfiguraci poziva dalsi databazi (mongodb). take java :( ma omezene mnozstvi vstupu, ale podbrouje beaty z ELK (nas zajima hlavne filebeat kvuli nacteni dat z auditlog)

  1. pro analyzu a alerting navrhuji pouzit graylog2
  2. pro vstupy nepodporovane graylog se da pouzit fluentd https://www.fluentd.org/ (ted s nim nacitam logy nginx)

dalsi napady a navrhy jsou vitane.

Akce
Kopírovat odkaz
 #3

Aktualizováno uživatelem Andrej Ramašeuski před téměř 6 roky(ů)

Pristup k testovaci instanci graylog na vyzadani soukromym rocketchatem

Akce
Kopírovat odkaz
 #4

Aktualizováno uživatelem Martin Rejman před více než 5 roky(ů)

  • Organizační struktura nastaven na Ne
  • Zobrazit v nabídce nastaven na Ne
  • Fronta změněn z Podání na Úkol

Chceme v tomto nějak pokročit, za mě je to stále aktuální ... :-) Akorát to asi úplně nespěchá.

Akce
Kopírovat odkaz
 #5

Aktualizováno uživatelem Andrej Ramašeuski před více než 1 rok

  • % Hotovo změněn z 30 na 100
  • Stav změněn z V řešení (diskutuje se) na Dokončen
Akce
Kopírovat odkaz

Také k dispozici: Atom PDF