اخبار داخلی آرمان داده پویان

مقالات

مفاهیم در اسپلانک (قسمت اول)
شما اجازه رای دادن ندارید!

مفاهیم در اسپلانک

قسمت اول

اسپلانک یکی از قدتمندترین SIEMهای موجود در بازار می‌باشد و قابلیت جمع آوری لاگ‌ها، جستجو، مشاهده، آنالیز و تحلیل داده‌ها را دارا می‌باشد. این پلتفرم با پردازش هزاران هزار لاگ تولید شده توسط نرم افزارها، مفسرها، تجهیزات امنیتی و .. اطلاعات ارزشمندی را کشف می کند که با چشم قابل رویت نیستند. به بیان دیگر اسپلانک داده‌های خام را جمع آوری و  فهرست بندی می‌کند. در هنگام راه اندازی مرکز عملیات امنیت (SOC) یکی از اجزای اصلی SIEM می‌باشد. آرمان داده پویان در نظر دارد تا در بخش مقالات آموزشی خود به آموزش یک سری از مفاهیم اولیه مورد استفاده در اسپلانک بپردازد. در بخش اول اصطلاحات رویداد، میزبان، منبع، نوع منبع، فیلد، برچسب، شاخص، زمان شاخص گذاری و جست و جو را توضیح خواهیم داد.

رویداد

 (Event)

یک رویداد را می‌توان مجموعه‌ای از مقادیر مرتبط با یک timestamp تعریف کرد. این مقادیر می‌تواند یک ورودی تنها و یا یک یا چندین خط داده باشد. همچنین یک رویداد می‌تواند یک متن، سند، فایل پیکربندی و یا اطلاعات رهگیری یک پشته باشد. در اینجا مثالی را از یک رویداد آورده‌ایم. یک لاگ مربوط به فعالیت وب:

۱۰٫۱۴٫۰٫۱۷۲ – – [۰۱/
Mar/2015:12:05:27 -0700] “GET /
trade/app?action=logout HTTP/1.1”
۲۰۰ ۲۹۵۳

در اسپلانک با تعریف یک سری تراکنش می‌توانید رویدادها را جست و جو کنید و همچنین رویدادهایی که به یکدیگر مرتبط هستند اما در زمان‌های مختلف اتفاق افتاده‌اند را با یکدیگر همبسته نمایید. به طور مثال همبسته کردن تمامی رویدادهایی که در سایت فروشگاهی مربوط به جلسات یک کاربر هستند.

میزبان، منبع و نوع منبع

(host, source and source type)

یک میزبان نام یک دستگاه فیزیکی یا مجازی است که رویداد از آن نشات می‌گیرد. فیلد میزبان در اسپلانک این امکان را در اختیار کاربر قرار می‌دهد تا به راحتی تمامی داده‌هایی که از یک منبع خاص نشات می‌گیرند را بیابد. منبع یا همان source نام یک فیلد، دایرکتوری، جریان داده یا سایر ورودی‌هایی است که از یک رخداد خاص نشات می‌گیرد. منابع بر اساس نوع منابع طبقه بندی می‌گردند، که نوع آن‌ها می‌تواند شناخته شده باشد یا نوعی باشد که کاربر تعریف کرده است. یکی از انواع شناخته شده HTTP می‌باشد که از لاگ‌های سرور وب و لاگ‌های رویداد ویندوز می‌آید. رخدادها با منابع یکسان می‌توانند از منابع مختلف بیایند. به طور مثال رویدادهایی که از فایل source=/var/log/messages و پورت ورودی syslog، source=UDP:514 اکثرا نوع منبع (source type) یکسانی دارند که  linux_syslog می‌باشد.

فیلدها

(Fields)

فیلدها درواقع نام‌های قابل جست و جو هستند که یک رخداد را از دیگری متمایز می‌نماید. تمامی رویدادها فیلدهای یکسان و مقادیر فیلد یکسانی ندارند. با استفاده از فیلدها می‌توانید در رخدادها به جست و جو بپیردازید و رخدادهایی که مورد نظرتان است را بیابید. زمانی که نرم افزار اسپلانک رخدادها را در زمان‌های نشانه‌گذاری و جست و جو پردازش می‌نماید، فیلدها را بر اساس تعریف فایل پیکربندی و الگوهایی که کاربر تعریف کرده استخراج می‌کند. با استفاده از ابزار Field Extractor می‌توانید به صورت خودکار در زمان جست و جو field extraction تولید نموده و تصدیق نمایید. همچنین می‌توانید فیلدها را از رویدادها در جاهایی که با جای خالی، ویرگول و یا مابقی کاراکترها از هم جدا شده‌اند، جدا نمایید.

برچسب‌ها و انواع رویدادها

(Tags and Event types)

در اسپلانک شما می‌توانید یک یا بیش از یک برچسب را به هر نام فیلد، میزبان، منبع و یا نوع میزبانی اختصاص دهید. استفاده از برچسب‌ها برای مقادیر مرتبط با فیلدها دنبال کردن مقادیر فشرده شده مانند آدرس‌های IP، یا شماره‌های شناسه با دادن نام‌های توصیفی. در زمان‌های جست و جو، رخدادهای نشانه گذاری شده که با یک رشته جست و جو مشخص همخوانی دارند می‌توانند در دسته انواع رویدادها دسته بندی گردند.

شاخص‌ها

(Indexes)

زمانی که داده‌ها به اسپلانک اضافه می‌شود، اسپلانک داده‌ها را پارس کرده و به رویدادها ی مجزا دسته بندی می‌نماید. بعد از آن timestampها را استخراج کرده و قوانین شکستن خط (line-breaking) را اجرا می‌نماید و رویدادها را در یک شاخص ذخیره می‌کند. شما می‌توانید در اسپلانک شاخص‌های جدید برای ورودی‌های مختلف بسازید. به صورت پیش فرض، داده‌ها در شاخص “main” ذخیره می‌گردند. رویدادها در هنگام جست و جو از طریق یک یا چند شاخص بازیابی می‌شوند.

زمان شاخص گذاری و زمان جست و جو

(Index-Time and Search-Time)

در حین پردازش زمان-شاخص گذاری (index-time)، داده‌ها از منبع خوانده شده و بر اساس نوع منبع دسته بندی می‌گردند. Timestamp استخراج شده و داده‌ها به صورت رخدادهای مجزا پارس می‌شوند. قوانین شکستن-خط بر روی سگمنت‌ها پیاده‌سازی می‌گردند. هر رخدادی بر روی یک شاخص بر روی دیسک نوشته می‌شود. زمانی که جست و جو آغاز می‌گردد، رویدادهای نشانه‌گذاری شده از دیسک بازیابی می‌گردند. فیلدها نیز از داده‌های خام بازیابی می‌شوند.

طراحی، مشاوره، پیاده سازی و تامین لایسنس Splunk  در ایران
آرمان داده پویان پیشگام در ارائه راهکارهای SIEM

تعداد بازدید: 1458


تازه ترین ها