Splunk – Wykazywanie prób włamania

Pewnie dużo z Was potrafi to ocenić na podstawie własnego przykładu: wcześnie rano, oczęta się przymykają, kawusia niezbyt smakuje a my usiądziemy do komputera i uciążliwie analizujemy logi w poszukiwaniu włamań, nieprawidłowych usług i tym podobnych. Wszystko zależy w którym formacie nasza usługa utrwala logi. Po obejrzeniu entego z kolei serwera wschodzi w nas świadomość – ale byłoby cudownie jeśliby każde logi napływały do jednego miejsca i można byłoby wtedy wypatrywać guza albo kłopotu całościowo dla kompletnej podległej nam sieci. Sprawa sama w sobie raczej mało odkrywcza, bo inicjatywa centralnego serwera logów zaistniała całkiem dawno, ale dopiero stosunkowo ostatnimi czasy pojawiło się narzędzie faktycznie godne uwagi – splunk. Oprogramowanie to zapisuje i układa dane w czasie rzeczywistym w głównym punkcie i strzeże je za pośrednictwem kontroli dostępu opartej na uprawnieniach eksploatatorów. Umożliwia on wyszukiwanie, kontrolowanie, raportowanie i przetwarzanie danych teraźniejszych w czasie rzeczywistym oraz danych przeszłych. Dzięki tym funkcjom zdołasz w tym momencie błyskawicznie ilustrować i ujawniać swoje dane, niezależnie od tego, jak bardzo są nieuporządkowane, duże lub zróżnicowane.

Narzędzie to posiada dużo praktycznych funkcji pozwalających oceniać spływające do serwera dane. Wydaje mi się, że w większych korporacjach splunk jest nieodzowny do weryfikacji stanu komputerów i pracowników. Mam poczucie, iż ilość funkcjonalności Splunka jesteśmy w stanie wyłuszczać niezmiernie długo. Kolejną praktyczną użytecznością jaką dostarcza Splunk są tablice Lookup. Dzięki nim uda nam się zdobyć posiłkowe pola w obecnie istniejących zdarzeniach. Jest to krótko mówiąc zasób leksykalny, który musimy przekazać w formacie CSV, ewentualnie spakowanym. Na przykład spróbujmy stworzyć słownik użytkownik, imię, nazwisko.I co nam to działanie dało? Dostaliśmy kompletnie nowiutkie pola po których to jesteśmy w stanie wyszukiwać. Jeśli nie znamy kogoś nazwy usera, a mamy opcję wytworzenia pliku csv zawierającego nazwiska i loginy, nierzadko jest to zadaniem trywialnym, to poszukiwanie może wyjść w wyższym stopniu instynktowne. Odmiennymi przeznaczeniami może być np. tablica produktów podpowiedzi w pliku pomocy producenta, moim pomysłem mogłoby być skonfrontowanie numeru telefonu z hostem. Nie wydaje się Wam że tak niepozorna wyszukiwarka może nie raz ułatwić pracę?

Więcej na temat platformy na: IT EMCA

Comments are closed.

Post Navigation