前言
Endian UTM 整合式威脅管理設備
隨著更多連網裝置加入,現在及未來數據量成長將相當可觀。然而即便有了大量的數據,卻很少企業真正去了解或設立分析與警示機制,直到發生嚴重的問題。最常看到的是系統遭入侵,個資外洩,或是正在遭受網路攻擊,但卻渾然不知。另外重要營運系統突然發生故障或是效能低落,如果能夠透過事前分析,預測故障,那將可能避免ㄧ場災難。基本上任何規模的企業都應該設立分析與警示機制,將營運風險控制在最低,那才是企業長青的基石。
ELK Stack
ELK 是三個開源項目的首字母縮寫,這三個項目分別是:Elasticsearch、Logstash 和 Kibana。Elasticsearch 是一個搜索和分析引擎。Logstash 是服務器端數據處理管道,能夠同時從多個來源釆集數據,轉換數據,然后將數據發送到諸如 Elasticsearch 等“存儲庫”中。Kibana 則可以讓用戶在 Elasticsearch 中使用圖形和圖表對數據進行可視化。
ELK 是三個開源項目的首字母縮寫,這三個項目分別是:Elasticsearch、Logstash 和 Kibana。Elasticsearch 是一個搜索和分析引擎。Logstash 是服務器端數據處理管道,能夠同時從多個來源釆集數據,轉換數據,然后將數據發送到諸如 Elasticsearch 等“存儲庫”中。Kibana 則可以讓用戶在 Elasticsearch 中使用圖形和圖表對數據進行可視化。
服務特色
-
將系統及設備產生的 log 做分析
-
提供 log 分析報告來預測系統潛在可能發生的問題,如記憶體/硬碟故障 或是系統不時重開機
-
根據 log 蒐集系統數據做效能分析,例如系統CPU 常常過載或是哪支程式回應速度過慢或是占用大量 CPU 或記憶體資源
-
將設備 log 導入到ELK 做成可視化儀表板,例如我們需要查詢最近一週電商網站有產生 SQL Injection 的攻撃次數
WAF SQL 攻擊分析
這個範例顯示將各網站WAF(web application firewall)及pushmail 平台所蒐集到的數據匯入log 分析平台,左圖是未經授權登入的統計次數,中間圖表是所有被WAF阻擋的次數,右邊圖是所有對網站發動SQL-Injection 攻擊的統計次數。我們可以設定Alert e-mail,例如SQL-Injection 次數較前一小時突然暴增3倍或是被WAF 阻擋次數超過100次,這可以讓系統網管人員即時知道是否目前有異常攻擊,可以確認IP來源,在防火牆上即時阻擋。