Webinar: Zarządzanie incydentami w Energy Logserver – od SOC do analizy

Witajcie.

Mamy nadzieję, że w tych interesujących czasach pozostaniecie bezpieczni i zdrowi. W Energy Logserver nieustannie pracujemy nad dostarczaniem Ci najwyższej jakości funkcji. Dlatego chcielibyśmy podzielić się z Tobą nowościami.

Energy Logserver jest obecnie w wersji 7.0.3. Skupiliśmy się mocno na korelacji zdarzeń i alertach wraz z ulepszoną kontrolą wewnętrzną. Poniżej umieszczamy najciekawsze aspekty tej wersji.

Główne zmiany

Ulepszone typy alertów:

  • Chain - możliwość indywidualnego dopasowania poszczególnych reguł. Reguła jest uruchamiana po osiągnięciu progu i wystąpieniu oczekiwanej sekwencji danych. Przykład: wykrycie nieudanych logowań, po których następuje sukces.
  • Logical - aktywuje się, gdy wybrane alerty są wyzwalane ze zdefiniowaną logiką. Przykład: wykrycie co najmniej trzech nieudanych logowań OR logowanie roota AND dwóch zmiany konfiguracji usługi.

 

Moduł agenta:

Dzięki Energy Logserver 7.0.3 możesz spodziewać się nowego wyglądu modułu Agentów, odpowiedzialnego za centralne zarządzanie. Poprawiliśmy między innymi niezawodność, lepszą kontrolę stanu agentów - wszystko dostępne z poziomu interfejsu użytkownika.

 

Skimmer:

Czy znasz Skimmera, nasz wewnętrzny proces monitorowania? Nowa wersja zapewnia więcej wskaźników kontroli stanu klastra, takich jak:

  • Wskaźnik indeksowania - pokazuje ilość EPS w systemie.
  • Oczekiwane węzły danych - Energy Logserver mierzy swoją wydajność i oblicza, ile węzłów danych wymaga do optymalnego przepływu pracy.
  • Wykorzystanie heap - pokazuje przypisane użycie pamięci dla każdej grupy komponentów w infrastrukturze Energy Logserver.
  • Miejsce na dysku - monitorujemy wykorzystanie miejsca na dysku. Teraz możesz zobaczyć, ile miejsca pozostało na dane.
  • i inne...

Jeśli nie znasz Skimmera, zdecydowanie powinieneś to sprawdzić!
https://kb.energylogserver.pl/en/latest/21-00-00-Monitoring/21-00-00-Monitoring.html#skimmer

 

Nasza społeczność zadaje nam nowe, trudne pytania, na które z chęcią odpowiadamy. Cieszymy się, że możemy współpracować z tymi, którzy podzielają pasję do oprogramowania monitorującego. Wspólne rozwiązywanie problemów jest bardzo satysfakcjonujące. Oto kilka najważniejszych informacji:

Jak radzić sobie z ponadwymiarowymi dokumentami Kafki w Logstash?

Jak usunąć zduplikowane lub mało ważne wiadomości z syslog?

Dlaczego czas przetwarzania filtru DNS Logstash jest długi?

 

Nadchodzące webinary:

Zarządzanie incydentami w Energy Logserver - od SOC do analityki

10.12.2020 o godzinie 14:00 czasu czasu polskiego

Kliknij tutaj, aby się zarejestrować: https://zoom.us/webinar/register/WN_r8Qzg_vPRd-Vhk5pT4L9kQ

Opis:

Podczas tego webinarium przyjrzymy się, jak wyszukiwać dane pod kątem błędów i anomalii. Stworzymy incydenty i przyjrzymy się, jak pracować z Energy Logserver z dwóch perspektyw - operacyjnej i analitycznej z dashboardami.

 

Bądźcie bezpieczni i szczęśliwego wyszukiwania!

Zespół Energy Logserver

 

 

Jak usunąć duplikaty lub nieistotne wiadomości z wiadomości syslog?

Opis problemu

Pewnie wszyscy znamy taki wpis w dziennikach syslog:
... last message repeated ... times

można to jakoś łatwo wykluczyć?

Rozwiązanie problemu

Tak, można. Jest wiele sposobów na pozbycie się zbędnych wiadomości, a poniższy jest tylko jednym tego przykładem:

filter {
&nbsp&nbspif [source] == "/ var / log / messages" {
&nbsp&nbsp&nbsp&nbspif [message] =~ / last message repeated [0-9] + times / {
&nbsp&nbsp&nbsp&nbsp&nbsp&nbspdrop {}
&nbsp&nbsp&nbsp&nbsp}
&nbsp&nbsp}
}

Powolny filtr DNS w logstashu

Opis problemu

Uruchomiłem filtr DNS na logstashu, ale wyraźnie widać, że prędkość indeksowania zmalała przez dodanie resolve.
Czy musi tak być?

Mój konfig jak w dokumentacji :

filter {
&nbsp&nbspdns {
&nbsp&nbsp&nbsp&nbspreverse => [ "source_host", "field_with_address" ]
&nbsp&nbsp&nbsp&nbspresolve => [ "field_with_fqdn" ]
&nbsp&nbsp&nbsp&nbspaction => "replace"
&nbsp&nbsp}
}

Rozwiązanie problemu

 

W starszych wersjach logstasha (2018*) po użyciu dyrektywy cache_size/failed_cache_size był błąd uniemożliwiający równoległe odpytywanie cache-a.

Bardzo fajną analizę wraz z wykresami wydajności przeprowadził zgłaszający:
https://github.com/logstash-plugins/logs...ns/pull/42

Gotowy config do użycia poniżej - proszę pamiętać, że pełną wydajność uzyskuje się po zapełnieniu cache-u danymi.
Warto także używać szybkich dnsów np 1.1.1.1/1.0.0.1


filter{
&nbsp&nbsp# dns resolve
&nbsp&nbspdns {
&nbsp&nbsp&nbsp&nbspreverse => [ "hostname" ]
&nbsp&nbsp&nbsp&nbspaction => "replace"
&nbsp&nbsp&nbsp&nbspnameserver => ["1.1.1.1", "1.0.0.1"]
&nbsp&nbsp&nbsp&nbsphit_cache_size => 131072
&nbsp&nbsp&nbsp&nbsphit_cache_ttl => 900
&nbsp&nbsp&nbsp&nbspfailed_cache_size => 131072
&nbsp&nbsp&nbsp&nbspfailed_cache_ttl => 900
&nbsp&nbsp}

&nbsp&nbsp# filter performance
&nbsp&nbspmetrics {
&nbsp&nbsp&nbsp&nbspmeter => "events"
&nbsp&nbsp&nbsp&nbspadd_tag => "metric"
&nbsp&nbsp}
}

output {
&nbsp&nbspif "metric" in [tags] {
&nbsp&nbsp&nbsp&nbspstdout {
&nbsp&nbsp&nbsp&nbsp&nbsp&nbspcodec => line {
&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbspformat => "DNS filter rate: %{[events][rate_1m]}"
&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp}
&nbsp&nbsp&nbsp&nbsp}
&nbsp&nbsp}
}

Future Tech Event z partnerem – CyberX

Z dumą informujemy o konferencji Future Tech Event w Omanie, której platynowym sponsorem jest nasz partner z regionu MENA - CyberX.

Future Tech Event to wydarzenie prezentujące najnowsze produkty i usługi ICT, najnowocześniejsze urzadzenia, elektronikę użytkową i najnowocześniejszą inteligentną technologię we wszystkich sektorach - w tym cyberbezpieczeństwa.

Na tym wydarzeniu będziemy mieć możliwość wysłuchania prezentacji założyciela CyberX, Mohannada Alkalasha oraz naszego inżyniera - Szymona Ćwieka.

Aby zapisać się na wydarzenie i wysłuchać prelekcji, zapraszamy tutaj: https://www.futuretechevent.com