overview:
1.聚合数据展示
2.过滤数据
3.读写分离集群
4.ms级响应查询
5.重要数据归档
6.基于ossec logstash es 大数据安全关联分析
需求与实现
需求1: 能像tail -f 查看日志,集中式查看日志,不用单节点去查看。
解决需求1:
先调研开源日志方案:
初级:rsyslog+notify
中级1:Logstash +Redis+ Elasticsearch + Kibana 这套适用对可靠 时要求不是很严的那种 ,采用redis队列
中级2:Flume + Kafka + Elasticsearch + Kibana 可靠性比中级1强,实时性,可用性较高,采用kafka中间件消息队列,有的为了加强完整性,还会加入zk。
高级:Flume + Kafka + HDFS + HADOOP + HIVE + Storm (+ Elasticsearch + Kibana)
尝试1:
用flume用采集,但采集到的日志文件不能按一定规则命名(虽是可以去改一小段的java实现),但都是文件存储方式。跟以前的相比只是不用跑去每个节点查看日志。
尝试2:
自我放弃了flume方案。换elk(当时的版本是1.7)。第一版的技术是elk+redis,原始的需求已经满足了,集中式,类似tail -f 方式。现在是集中式,web方式。效果如下:
需求2:要看聚合的数据,比如a一类集中显式
解决需求2:
采用 if [type] == "a" {
index => "a"
}
把数据聚合到index显示,就ok了
需求3:数据量太大了,要过滤数据b
解决需求3:
filter {
grok {
add_tag => [ "valid" ]
match => [
"message", "b"
]
}
}
ps:由于logstash的1.5 1.7 2.1 各版本语法略有差异,1.5版本是grek ,1.7以后改成grok。其它写法也不一样,具体的参照官网的示例。
需求四:要归档重要的日志,es集群读写分离
解决需求四:从redis队列直接取值存于mongodb
es集群这里采取的是读写分离模式,常见的主从方式(master----->slave),谁先启动就是master。
这里的数据过滤归档,有很多种方式,思考了良久,采取是最少工时最高效率,从redis消息队列直接取值过滤存档。当然,也可用python方式用es的api的调用数据来归档,看需求,看场景.......
需求五:优化各层次套件,实现ms级查看日志
解决需求五:
各种优化,前端,消息队列,存储,分片,索引,副本,加ngxspeed。改js 支持ms级别。
先看ms级显示:
这是改js里
optimize/bundles/kibana.bundle.js:4264
kibana4.3/optimize/bundles/kibana.bundle.js
es的优化除了能在 elasticsearch.yml配置一些最大最小内存,副本等外,大部人是通过es的api来设置,由于设置项与理论太多了。这里暂两个例子:
管理索引优化
optimize API允许通过API优化一个或多个索引。优化过程的操作基本上优化的索引搜索速度更快(和涉及到Lucene索引内保存每个碎片的段数)。优化操作允许减少的段数,把它们合并。
$ curl -XPOST 'http://localhost:9200/twitter/_optimize'
需求6: 入侵检测检测系统
这个是理论阶段,我还没开始做。只是提供一个思路案例思考。Ossec(事件源、alert源) Logstash (日志收集、分割日志) Elasticsearch (全文搜索) Kibana3 (日志展现) Redis/kafka队列。
入侵检测系统ossec:
ossec 支持2种模式:1、ossec agent; 2、基于redis队列,日志传送到ossec server,然后ossec server会通过对分析日志进格式化处理规则解析,判断异常并且对其做处理,比如写入数据库,触发告警。
如图1为处理日志过程。
如图2为ossec整个工作过程:
说到入侵检测系统,之前作了一个迷你的系统录屏,记录用户从登陆系统的所有操作,把记录在kibana上展示。
USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]
then
USER_IP=`hostname`
fi
if [ ! -d /data/records ]
then
相关推荐
1 电信企业系统管理需求分析 3 2 BMC针对电信企业系统管理的解决方案 6 • BMC系统监控解决方案设计目标 6 • BMC监控解决方案设计方法 8 2.1.1 BMC PATROL体系结构 9 • BMC管理解决方案实现的功能 9 2.1.2 管理...
第四章系统设计与实现 4.1系统架构设计 4.2开发流程设计 4.3数据库设计 4.3.1实体ER图 4.3.2数据库逻辑设计 4.3.3数据表 第五章系统实现 5.1用户前台功能模块(前端) 5.2管理员功能模块(后端) 第六章系统的测试 ...
根据系统的总体架构设计,本文主要从三个方面完成了基于流式计算的电信实时营销系统的设计与实现。解决实时数据的传输问题:流式计算数据处理系统需要进行对实时信息进行及时、不间断地处理。Flume从节点上实时采集...
本资源提供了一个基于Spring Boot框架的Java Web药店管理系统的完整设计与实现方案,旨在帮助药店实现药品库存、销售、客户管理、财务统计等核心业务的自动化与高效化。 该系统采用MVC架构,前端使用HTML、CSS、...
WebSocket日志输出系统 - 基于Java和HTML开发的实时日志显示解决方案,包含20个文件,专注于WebSocket技术实现,支持实时日志输出,适用于各类日志管理需求,提升系统监控和运维效率。
系统方案设计 12 2.1. 项目需求 12 2.2. 系统具体设计 12 2.3. 系统架构图 14 第三章 监控平台架构 15 3.1.框架结构 15 3.2.技术实现 16 第四章 平台功能 18 4.1.实施浏览 19 4.2.录像回放 23 4.3.时间切片 25 4.4....
本论文介绍了开发背景,开发平台,并基于需求分析实现了教务管理平台中基于角色控制的权限系统(RBAC)及公共模块的设计与开发。RBAC实现了用户与访问权限的逻辑分离,更符合教务平台的用户、数据和应用特征;在公共...
本论文介绍了开发背景,开发平台,并基于需求分析实现了教务管理平台中基于角色控制的权限系统(RBAC)及公共模块的设计与开发。RBAC实现了用户与访问权限的逻辑分离,更符合教务平台的用户、数据和应用特征;在公共...
ASP.NET基于.NET的城市公交查询系统是一个集成了公交路线查询、站点查询、换乘方案等功能的综合信息服务平台。该系统利用.NET框架的强大功能和ASP.NET的灵活性和可扩展性,为用户提供了一个高效、便捷、用户友好的...
网络视频监控系统的建设将保证厂区各个职能部门人员对职责范围许可内的视频信息情况及时、准确的了解、掌握,监控系统实现系统化、科学化、现代化地统一管理,切实满足公安行业对于图像系统的管理和业务需求等要求...
“基于微服务的旅行社门店系统的设计实现”是一个面向当代旅游行业需求的综合解决方案。该系统采用微服务架构,确保了高可用性、灵活性和可扩展性。以下是对这个资源的简要介绍:模块化设计:该系统被拆分成多个独立...
基于ssm的高校设备管理系统设计与实现 Java;SSM;MySQL; 开发的系统涵盖采购到报废的全过程,能够帮助学校实现设备采购的全流程管理、设备维修、财务核算、库存管理等方面的完整管理。同时,还有一些高校和企业...
1 网络安全系统运维服务方案 从网络的连通性、网络的性能、网络的监控管理三个方面实现对网络系统的运维管理 。网络、安全系统基本服务内容: "序号"服务模块 "内容描述 "提供方 " "1 "现场备件安装 "配合用户进行,...
同时,系统还提供了日志记录功能,方便管理员追踪和审计系统操作。 值得一提的是,该系统具有良好的可定制性和二次开发性。用户可以根据实际需求,对系统进行定制开发,添加新的功能模块或调整现有功能,以满足不同...
基于J2EE的博客系统的设计与实现毕业设计 目 录 前 言 1 第1章 技术背景 3 1.1 方案分析 3 1.2 开发工具 3 1.2.1 JSP简介 3 1.2.2 MySQL简介 4 1.2.3 Tomcat简介 4 1.2.4 MyEclipse简介 4 1.2.5 MVC简介 5 1.2.6 ...
7.1 促进系统使用的方案 99 7.1.1 功能性 99 7.1.2 可用性 100 7.1.3 激励性 102 7.2 系统使用情况统计 102 7.2.1 系统日志 102 7.2.2 应用日志 102 8 系统配置估算 103 8.1 系统存储要求估算 103 8.1.1 接口文件...
所有系统的实 现应遵守IMS规范以及其它3GPP定义的标准,控制和承载分离,保证实现的系统接口标准 化,能与不同的厂商的设备兼容。 2 系统架构 家居无忧系统主要由用户端设备、网络摄像头、家居无忧中心管理平台、...
服务器系统备份与灾难恢复方案 一、为什么要做服务器备份 随着企业信息化程度的提高,企业对 IT 系统的依赖性越来越大,企业的关键数据、甚至核心商业 机密资料,都会保存在计算机系统里。一旦计算机出现某种故障,...
本项目是一个基于微信小程序的订餐系统,采用SSM(Spring、SpringMVC、MyBatis)框架进行开发,旨在提供一个便捷、高效的在线订餐解决方案。系统涵盖了前端展示、后端管理、数据库存储等核心功能,支持二次开发定制...
系统管理:包括权限管理、日志记录等功能,保障系统的稳定运行和数据的安全性。 三、SSM框架介绍 SSM框架是Spring、SpringMVC和MyBatis三个开源框架的整合。Spring提供IoC和AOP功能,简化企业级应用开发流程;...