Bài tập xây dựng hệ thống giám sát
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (50.98 KB, 3 trang )
Nhóm A:
Đinh Văn Đông
Nguyễn Mạnh Cuờng
Nguyễn Xuân Cuờng
Mô tả lại 3 kịch bản giám sát phù hợp với thiết kế hệ thống. Chứng minh thông qua số liệu cụ thể
về:
1. Tốc độ upload
2. Tốc độ download
3. Số lương dữ liệu truyền tin
4. Số lương dữ liệu tiếp nhận
Sao cho đủ 500 agent và 10.000 IPS
Yêu cầu giao nộp:
Thông tin về kích thước dữ liệu
Tổng các thông tin dữ liệu gửi lên.
Dữ liệu mỗi bước.
Đảm bảo 1000 IPS tuơng ứng gửi đi gói tin
1000 sự kiện gửi đi bao nhiêu 1 s các thông tin , gói tin.
Chỉ rõ tham khảo ở đâu, nguồn nào kèm theo mô tả kịch bản.
1. Giám sát cơ sở dữ liệu
2. Giám sát các lưu luợng truy cập
3. Giám sát hệ thống website thay đổi
Sử dụng giải pháp OSIEM của AlienVault giám sát hệ thống máy chủ.
Giả sử hệ thống giám sát máy chủ bao gồm 10.000 IPS với 50 agent. Mỗi agent sẽ quản lý 200
IPS. Các agent như OSEC, đuợc cài dặt tại các hệ thống máy chủ có nhiệm vụ thu thập các log
từ các IIS, Apache, Event Log,…. Cấu hình các agent gửi các nhật ký về phía máy chủ OSIEM.
Tốc độ upload hệ thống 256 kbps (tiêu chuẩn Mỹ)
Kích thuớc gói tin 3kB. Giả sử có 1000 sự kiện xảy ra đến agent Mỗi agent sẽ phải xử lý thông
tin với bội số của 640 kB/s
.Mỗi gói tin http kích thứớc ~ 3kB (Note.1) cho mỗi sự kiện gửi đi từ IPS. Vậy với 1000
sự kiện trên giây cùng 1 lúc các dữ liệu với kích thứoc 3kb x 1000 * 10.000 client = 320
000.000 KB ~ 300 GB.
+ Băng thông đuờng truyền của server 10 GB
Như vậy tối thiểu cần 30 server để xử lý các sự kiện đến từ các client.
Kích thuớc của log phải là bội số của 64kB.
Maximum các hệ thống upload giả sử là 256 kbps (tiêu chuẩn tại Mỹ ) đuơng đuơng với
data Transfer = 31KB/s.
Như vậy tại mỗi agent sẽ bị tắc nghẽn gói tin. Lúc đó tại mỗi agent phải có cơ chế xử lý
hàng đợi FIFO để xử lý lần luợt các gói tin tắc nghẽn. hoặc sẽ đặt lịch gủi theo thời gian,
hoặc giới hạn gói tin gửi đến.
Về phía các agent gửi về máy chủ cần đuờng truyền băng thông tốc độ cao (10GB)
Và cấu hình thiết lập máy chủ xây dựng các rule cần thiết để xử lý các thông tin đến.
Xây dựng các luật để xác định sự cố của các hệ thống máy chủ từ các event đến.
Note.1
/>
Các buớc cần tiến hành của hệ thống giám sát
Thu thập dữ liệu
Việc thu thập ở đấy là lấy các thông tin liên quan đến tình trạng của hệ thống, thu thập từ các log
như router, switch, IDS, IPS, Snort,.. Log của các Web Server, Application Server, Log Event,
Log Registry của Server Windows, Linux.
Cách thức thu thập dữ liệu gồm có 2 kiểu.
Push Method: Các sự kiện từ các thiết bị, máy trạm server tự động chuyển về các Collector theo
thời gian thực hoặc sau mỗi khỏang thời gian tùy vào cấu hình. Các collector sẽ nhận sự kiện khi
chúng xảy ra như. Có thể kể đến các agent như syslog agent, syslog- server. Mỗi loại sẽ thu thập
các log liên quan đến các sự kiện khác nhau.
Pull Method: Các Collector thu thập các sự kiện đuợc phát sinh và lưư trữ trên chính các thiết bị
và sẽ đựoc lấy về bởi các bộ Collector. Lúc này bộ collector sẽ có nhiệm vụ thu thập các events.
Trong truờng hợp bài tóan nên sử dụng phuơng pháp kéo (Pull Method ) để khi nào cần sẽ lấy
các thông tin cần thiết chứ ko phải thu thập toàn bộ sự kiện phát sinh.
Phân tích dữ liệu
Khi đã thu thapạ đuợc các thông tin về hệ thống là việc tiếp theo chúng ta phân tích thông tin, chỉ
ra những bất thừong, xây dựng bộ luật phát hiện cảnh báo ( Phía OSIEM cho phép xây dựng các
rule đuợc tự định nghĩa để xác định các cảnh bảo ). Ví dụ như việc truy cập từ địa chỉ IP quá
nhiều trong cùng một thời điểm hay việc đăng nhập thất bại quá nhiều lần vào hệ thống thì phải
đưa ra cảnh báo..
Đưa ra cảnh báo.
Cảnh báo ở đây có thể đưa ra thông báo trên chính các hệ thống client hoặc qua email, SMS cho
người quản trị. Các IP thuờng xuyên tấn công vào hệ thống có thể đưa vào black list để chặn.
