Úkol #11830
uzavřený
Servery - monitorování dění pomocí auditd
Přidáno uživatelem Martin Rejman před více než 6 roky(ů).
Aktualizováno před téměř 2 roky(ů).
Popis
Prozkoumat možnosti auditování:
- změn v systému
- spouštěných příkazů
- napojení na monitoring
- archivace logů mimo samotný monitorovaný stroj
- Stav změněn z Řešit později na Čeká se na řešitele
- Přiřazeno nastaven na Andrej Ramašeuski
Prosím o posun, ať můžeme rozšířit přístupy na servery :-) Děkuji
- Stav změněn z Čeká se na řešitele na V řešení (diskutuje se)
- % Hotovo změněn z 0 na 30
- Odhadovaná doba nastaven na 40.00hod
Provedl jsem zakladni pruzkum prioblematiky, vcetne testovani predevsim auditd (zmeny v systemu zrejme patri nekam jinam)
- logovani vsech prikazu - no problem. muzeme zprovoznit.
- prenos dat na logovaci server prostredky auditd (audisp) take neni zadny problem. muzeme zprovoznit.
a tady zacina to nejzajimavjesi - prace s logama, analyza, filtrace, alerty
jako prvni variantu jsem otestoval ELK https://www.elastic.co/elk-stack. monstrozni system v java, a pritom v free verzi nepodporuje ani tak zakladni vec jako pristupova prava k webovemu rozranim role, a t.d. graficke rozhrani kibana neni zadny zazrak. ale pekne obazky na webu :)
druha varianta - graylog2 https://www.graylog.org/ rozhodne komfortnejsi rozhrani nez kibana, nicmene - stejne zavisi ne elasticsearch. pro vlastni konfiguraci poziva dalsi databazi (mongodb). take java :( ma omezene mnozstvi vstupu, ale podbrouje beaty z ELK (nas zajima hlavne filebeat kvuli nacteni dat z auditlog)
- pro analyzu a alerting navrhuji pouzit graylog2
- pro vstupy nepodporovane graylog se da pouzit fluentd https://www.fluentd.org/ (ted s nim nacitam logy nginx)
dalsi napady a navrhy jsou vitane.
Pristup k testovaci instanci graylog na vyzadani soukromym rocketchatem
- Fronta změněn z Podání na Úkol
- Zobrazit v nabídce nastaven na Ne
- Organizační struktura nastaven na Ne
Chceme v tomto nějak pokročit, za mě je to stále aktuální ... :-) Akorát to asi úplně nespěchá.
- Stav změněn z V řešení (diskutuje se) na Dokončen
- % Hotovo změněn z 30 na 100
Také k dispozici: Atom
PDF