تسجيل وإدارة السجلات

قد تجد المؤسسات التي تعتمد أنظمة وخوادم وتطبيقات متعددة صعوبة في تتبع سجلات الأمان التي تقوم بإنشائها. ومع تطور بنيات الخدمات المصغرة، أصبح التسجيل مهمًا بشكل متزايد. يمكن أن تساعد سجلات الأمان المطورين على تحليل الأخطاء وتحديد الهجمات وجمع الأفكار. يسمح التسجيل للمؤسسات بتحسين خوادمها وأنظمتها وهو ضروري لاستكشاف أخطاء أداء التطبيقات/البنية التحتية وإصلاحها. تؤدي المراجعة النشطة لسجل الأمان إلى إبقاء أنشطة المجرمين الإلكترونيين بعيدة. يمكن تصميم نظام إدارة السجلات الشامل لتنبيه المستخدمين فيما يتعلق باكتشاف البرامج الضارة ومحاولات تسجيل الدخول غير المصرح بها وهجمات DoS وتصدير البيانات و أحداث أخرى من هذا القبيل.

اختيار أداة التسجيل الصحيحة

يساعد التسجيل المركزي المؤسسات على جمع سجلات الأحداث الخاصة بها وتحليلها وعرضها في موقع واحد. مختلفة أنواع أدوات التسجيل متوفرة على الإنترنت مثل Loggly و Sumo Logic و Splunk وما إلى ذلك، في حين أن هذه بعض الخيارات الشائعة، فإن البديل الأرخص هو الحفاظ على مكدس ELK (Elasticsearch و Logstash و Kibana). لديهم جميعًا نفس الميزات تقريبًا لتقديمها.

ما هو إلك ستاك؟

ELK Stack عبارة عن مزيج من Elasticsearch و Logstash و Kibana، وهي منصة تحليل السجلات مفتوحة المصدر الأكثر شيوعًا. لوغستاش يقوم بتجميع السجلات وتحويل/تحليل البيانات -> البحث المرن يقوم بتخزين وفهرسة بيانات logstash الواردة -> كيبانا يحلل ويصور البيانات من Elasticsearch. بالإضافة إلى ذلك، يدق يقوم بشحن بيانات السجل إلى Elasticsearch و Logstash، باستخدام أنواع مختلفة من الشاحنين لأنواع مختلفة من الملفات - Filebeats و Metricbeat وما إلى ذلك.

شركات معروفة مثل نيتفليكس، ستاك أوفرفلو، لينكد إن، وما إلى ذلك، اختارت إلك ستاك. لا ينبغي أن يكون هذا مفاجئًا بالنظر إلى جميع القدرات والخدمات الهامة التي توفرها هذه المجموعة:

نظام تسجيل مركزي لجميع الخدمات المصغرة، مع تحليلات التسجيل في الوقت الحقيقي ونظام التنبيه.
نشر مبسط ومتدرج رأسيًا وأفقيًا.
تصور البيانات الذي يلتقط التحليلات ويعرضها.

تكوين مكدس ELK

في العرض التوضيحي التالي، سنقوم بتحليل سجلات nginX و Docker باستخدام فايل بيتس وتخيلهم في كيبانا.

قمنا أولاً بإعداد ELK Stack 7.8.1 على عامل الإرساء. يمكنك العثور على الملف هنا. إذا كنت ترغب في تثبيت النظام مباشرة، يرجى الاطلاع هذه.

لإعداد عامل الإرساء، قم بتشغيل:

$ سودو دوكر-كومز أب -d

أنت جاهز للمتابعة إذا كان المضيف المحلي http://localhost:80 يعود استجابة إيجابية.

ELK Stack works

*اسم المستخدم - المشرف؛ كلمة المرور - المشرف

مرن — http://localhost:80/elastic

Elastic local host

كيبانا - http://localhost:80/kibana

ELK Stack Kibana

الآن بعد أن تم إعدادك بالكامل، دعنا نلقي نظرة على السجلات في Kibana.

انتقل إلى كيبانا -> إدارة المكدس -> نمط الفهرس -> إضافة فهرس.

أضِف خادم لوغستاش-* و سجلات logstash-*.

اختر @timestamp الحقل كفلتر زمني

Kibana Index

انتقل الآن إلى اكتشف لوحة لرؤية سجلاتك.

ELK Stack Discover

بمجرد أن تتمكن من رؤية السجلات، يمكنك إنشاء تصورات لتمثيل مقاييس الأعمال الهامة.

لإنشاء تصور جديد، ابحث عن خيار «Visualize» على اللوحة الجانبية واتبع التعليمات المذكورة هنا. يمكنك إضافة المزيد من الحقول في تكوين خط أنابيب Logstash بناءً على متطلباتك وتصور النطاق الزمني اليومي/الشهري/السنوي/المخصص. في ما يلي مثال:

ELK Stack example

الميزات الأخرى لـ ELK Stack

حدد بنية سجلاتك وأنشئ تصورات وفقًا لذلك.
اشترك في تنبيهات Slack/البريد الإلكتروني ليتم إعلامك بسجلات الأخطاء.
راقب خدماتك مثل MySQL وكافكا ومونجو ونظام EC2 وما إلى ذلك باستخدام Metricbeat.
قم بتعيين التنبيهات للحصول على ملخص يومي للبنية الأساسية الخاصة بك، استنادًا إلى بيانات السجل. على سبيل المثال. تسجيل دخول مستخدمين جدد مميزين.
أضف خطوط أنابيب ML بينهما لتحليل السجلات واتخاذ القرارات وفقًا لذلك. على سبيل المثال، ألق نظرة على عبء الخدمة وتوقع الحمل المستقبلي. بناءً على ذلك يمكنك توسيع نطاق خدماتك مسبقًا.

يتيح ELK Stack للمستخدمين تحليل البيانات وتصورها من أي مصدر وبأي تنسيق. المجموعة مملوكة لشركة Elastic التي تجمع بين منتجاتها الثلاثة مفتوحة المصدر Elasticsearch و Logstash و Kibana. مما يعني أن إمكانات التسجيل المركزية للمكدس وميزاته التكميلية متاحة لأي شخص مجانًا. هذا يجعل ELK Stack خيارًا شائعًا بين المطورين لتحليل السجلات.