Octopussy (программное обеспечение) - Octopussy (software)

Осьминог
Octopussy-v1-Theme-2014.png
Разработчики)Себастьен Тиберт и другие
изначальный выпускДекабрь 2005 г.[1]
Стабильный выпуск
1.0.16 / 3 июня 2017 г.; 3 года назад (2017-06-03)[2]
Написано вPerl, ASP
Операционная системаLinux
ТипАнализ журнала, программное обеспечение безопасности
ЛицензияGPLv2
Интернет сайтосьминог.вечера

Осьминог, также известен как 8Киска, это бесплатно и с открытым исходным кодом компьютерное программное обеспечение, которое мониторы систем, постоянно анализируя системный журнал данные, которые они генерируют и передают на такой центральный сервер Octopussy (который часто называют SIEM решение).[3] Поэтому такое программное обеспечение, как Octopussy, играет важную роль в поддержании СМИБ в пределах ISO / IEC 27001 -соответствующие среды.

Octopussy может контролировать любое устройство, поддерживающее системный журнал. протокол, такие как серверы, маршрутизаторы, переключатели, брандмауэры, балансировщики нагрузки, и его важные приложения и Сервисы. Основная цель программного обеспечения - предупреждать администраторов и пользователей о различных событиях, например о сбоях системы, нападения о системах или ошибках в приложениях.[4] Однако в отличие от Nagios или Icinga, Осьминог - это не штат -checker и поэтому проблем не может быть решено в приложении. Программное обеспечение также не дает никаких предписаний относительно того, какие сообщения должны / не должны анализироваться. Таким образом, Octopussy можно считать менее мощным, чем другие популярные коммерческие программы той же категории (мониторинг событий и анализ журналов).[5]

Octopussy совместим со многими Linux системные дистрибутивы, такие как Debian, Ubuntu, OpenSUSE, CentOS, RHEL и даже мета-распределения как Gentoo или Arch Linux. Хотя Octopussy изначально разрабатывался для работы в Linux, он мог быть портирован к другим вариантам Unix, таким как FreeBSD с минимальными усилиями. Octopussy имеет обширные функции создания отчетов, а также различные интерфейсы для другого программного обеспечения, например NSCA (Nagios), Jabber / XMPP и Zabbix. С помощью ПО вроде Ловушка даже Windows Журналы событий можно обработать.[6]

Octopussy лицензирован на условиях Стандартная общественная лицензия GNU.

Характеристики

Хотя Octopussy бесплатное программное обеспечение с открытым исходным кодом он имеет множество характеристик, которые также можно найти в некоторых профессиональных корпоративные приложения любить Splunk, ПИЛКА или Kiwi Syslog.

Скриншот веб-интерфейса Octopussy, на котором отображается панель с наиболее важной агрегированной информацией.
Страница дашборда в Octopussy 0.9.4+ (2007-2014)

Особенности осьминога

На момент написания Octopussy поставляется со следующим набором функций:

  • Базовый LDAP поддержка (v 1.0+) для пользователей Octopussy и контактов с механизмом фильтрации
  • Отправка оповещений по электронной почте, Я (Jabber), NSCA (Nagios) и Zabbix
  • Функциональность карты для отображения инфраструктуры системы, известной Octopussy
  • Экспорт отчетов по электронной почте, FTP и SCP
  • Плагины ввода и вывода для ручных и автоматических отчетов
  • Планирование отчетов и автоматическое создание отчетов по параметрам
  • Программа просмотра журналов для поиска сообщений системного журнала, полученных Octopussy
  • An RRDtool для графического отображения данных активности системного журнала для включенных служб
  • Исчерпывающие определения сервисов (Apache 2, BIND, BSD Kernel ...)
  • А волшебник легко создавать новые службы и / или шаблоны сообщений для существующих служб
  • Возможность включения или отключения служб и предупреждений для каждой системы под наблюдением
  • Онлайн-обновления для сервисов, таблиц и l18n (языковая поддержка)
  • Поддержка нескольких языков: английский французский немецкий итальянский испанский португальский русский
  • Веб-интерфейс для просмотра текущего состояния устройств, предупреждений, сообщений журнала и т. Д.
  • Тематический интерфейс и отчетные документы
  • Управляемость основных сервисов Octopussy из операционной системы оболочка
  • Файлы конфигурации с плоским текстом (интегрируются со многими редакторами конфигурации)
  • Возможность своевременного вращать и хранить полученные сообщения системного журнала в разных местах
  • Управление пользователями с возможностью детальной настройки разрешений
  • Простой набросок стилей и GUI компоненты в ASP для легкой модификации

Поддерживаемые услуги

Некоторые из (мета) услуги Поддерживаются / известны Octopussy:

Apache 2, BIND, ядро ​​BSD, BSD PAM, система BSD, маршрутизаторы Cisco (ASR), коммутаторы Cisco, ClamAV, обратный прокси DenyAll, DRBD, F5 BigIP, Fortinet FW, HP-Tools, Ironport MailServer, Juniper Netscreen FW, Juniper Netscreen NSM, LDAP, Linux AppArmor, Linux Auditd, Linux IPTables, ядро ​​Linux, Linux PAM, система Linux, Monit, MySQL, Nagios, Neoteris / Juniper FW, NetApp NetCache, Postfix, PostgreSQL, Samba, Samhain, SNMPd, Squid, SSHd, Syslog-ng, TACACS, VMware ESX (i), Windows Snare Agent, Windows System, Xen ...[7]

Снимок экрана веб-интерфейса Octopussy, отображающий средство просмотра предупреждений с текущими сообщениями об инцидентах.
Страница просмотра предупреждений в Octopussy 0.9.4+ (2007-2014)

Обрабатываемые события

События, которые могут быть получены от услуг и, следовательно, обработаны Octopussy, включают:

  • Неудачные и / или успешные входы в систему, особенно пользователей с более высокими привилегиями
  • Нарушение прав доступа или политик в приложениях и операционных системах
  • Доступ для записи и / или чтения в критических средах, например с AppArmor или SELinux
  • Установленные или завершенные туннели VPN в системах, например Можжевельник Нетскрин
  • Объекты, такие как процессы или файлы, контекст безопасности или конфигурация которых были изменены.
  • Запущенные или остановленные процессы на уровне операционной системы
  • Критические состояния системы, такие как (неустранимый) отказ оборудования или программного обеспечения
  • Изменение состояния операционной системы из-за загрузки, перезагрузки или выключения
  • Информация о сетевых подключениях / трафике, включая сообщения ICMP и т. Д.
  • Обнаружение или иная обработка вредоносных программ (например, червей, вирусов, троянов)

Зависимости

Программное обеспечение требует RSYSLOG установлен на сервере системного журнала и ожидает, что отслеживаемые системы будут запускать одну из многочисленных доступных служб системного журнала, например, syslogd / klogd, RSYSLOG или syslog-ng.[8]

Программное обеспечение дополнительно зависит от HTTP-сервер Apache 2 установлен с Apache :: ASP, Mod_Perl и Mod_SSL. Осьминожку также требуется MySQL СУБД (фактическая база данных устанавливается / копируется во время установки Octopussy), а также недавний Интерпретатор Perl установлен в операционной системе, с различными модулями Perl из CPAN (например, Crypt :: PasswdMD5, DBD :: mysql, JSON, Unix :: Системный журнал, XML::Просто).[9] Полный список этих модулей можно найти в пакетах / архивах программного обеспечения. README.txt файл. В дополнение к этому NSCD и RRDtool являются обязательными. RRDtool помогает в создании графиков, которые будут отображаться на Octopussy панель приборов или отображается на уровне устройства / услуги.[10]

Архитектура

Изображение, отображающее архитектуру программного обеспечения Octopussy, включая его наиболее важные компоненты.
Архитектура Octopussy 1.0.14 (2014)

Octopussy получает сообщения системного журнала по протоколу системного журнала и поэтому ведет себя пассивно, не работая в сети какого-либо типа. агент на удаленных машинах под мониторинг /наблюдение.[11] Octopussy полностью соответствует RfC 3164 и RfC 3195 IETF, описывая syslog как механизм ведения журнала в Unix-подобных / BSD операционных системах.[12][13] Это особенно касается внутреннего представления легкость и серьезность -принцип, если применимо.

Программное обеспечение управляется полу-сохранный корреляция событий двигатель. Это означает, что двигатель записывает и, следовательно, знает его внутреннее состояние, но использует его только до некоторой степени, чтобы связать вместе логически связанные элементы для одного и того же устройства, чтобы делать вывод (т.е. для генерации предупреждения). В Octopussy механизм корреляции с полу-сохранением состояния с так называемым раздвижное окно (сдвигающееся окно является логической границей ряда событий в течение определенного периода времени), может сравнивать известные прошлые события с настоящими на основе ограниченного количества сравнительный ценности.

Диспетчер осьминогов

Octo-Dispatcher - это компонент, используемый программным обеспечением Octopussy для получения строк системного журнала от RSYSLOG и отправка их в каталоги устройств.[14] Каждому устройству, зарегистрированному и активированному в Octopussy, назначаются сообщения системного журнала в зависимости от имени устройства. Заслуживает внимания также соседний компонент Octo-Replay, который представляет собой программу, используемую программным обеспечением Octopussy для воспроизведения сообщений журнала для какого-либо устройства или службы (она получает и обрабатывает признанный журналы и помещает их обратно в входящий каталог).

Парсер осьминога

Octo-Parser и Octo-Uparser - два наиболее важных основных компонента Octopussy. Octo-Parser - это программа, используемая программным обеспечением Octopussy для разбирать ведет журнал в формате системного журнала для каждого устройства, зарегистрированного в Octopussy.[15] Он в основном использует регулярное выражение -engine и запускает сопоставление с образцом для входящих сообщений системного журнала. Octo-Uparser перезапускается каждый раз при изменении служб устройства, чтобы проверить, могут ли ранее полученные «неизвестные» сообщения журнала быть связаны с услугой.

В некоторых случаях Octo-Pusher также вызывается заранее для обработки не системный журнал сообщения, поступающие с некоторых устройств. В этом отношении настройка устройства "асинхронный" полезна для обработки таких сообщений журнала после того, как они были отправлены на сервер Octopussy, например, с использованием FTP, rsync или SSH / SCP.

Скриншот веб-интерфейса Octopussy, отображающий график RRD с совокупными данными сообщений устройства.
Страница графика RRD в Octopussy 0.9.4+ (2007-2014)

Интерфейс Octopussy

Интерфейс Octopussy (GUI ) является пользовательским интерфейсом по умолчанию и предоставляет управление конфигурацией, управление устройствами и услугами, а также определение предупреждений и, следовательно, расширяет основные компоненты Octopussy. Устройства отображаются в табличной форме на Устройства страница, как минимум со следующими дескрипторами: имя хоста, айпи адрес, тип журнала, модель / тип устройства, FQDN и Операционные системы.

Следовательно, интерфейс (Octo-Web) в основном обеспечивает доступ к другим основным компонентам Octopussy, таким как Octo-Commander, Octo-Message-Finder, Octo-Reporter и Octo-Statistic-Reporter. Интерфейс / графический интерфейс Octopussy написан на Perl 5 с использованием Apache :: ASP для структурирования и отображения содержимого.[16]

В дополнение к этому, к основным сервисам Octopussy также можно получить доступ из оболочки операционной системы. Это удобный способ для администраторов запускать / останавливать службы или вносить фундаментальные изменения в конфигурацию.

Octopussy RRD

Осьминог RRD график Генератор является основным компонентом программы и устанавливается по умолчанию. Поскольку создание таких графиков требует значительных ресурсов, администраторы могут отключить его на сервере системного журнала Octopussy с менее мощным ЦПУ и небольшое количество ОЗУ. Сгенерированные графики RRD отображают активность всех активных служб для контролируемых устройств, в значительной степени зависящих от конкретной службы. После перезапуска ПО Octopussy или во время работы Octo-Dispatcher и Octo-Parser всегда будут обрабатывать сообщения системного журнала в своих буфер и очередь first и генерация графа RRD задерживается.[17] Octo-RRD также зависит от Octo-Scheduler для выполнения функции Octopussy :: Report для создания графиков RRD активности системного журнала, которые были Запланированное ранее. Наконец, Octo-Sender имеет возможность отправлять данные отчета произвольным получателям.

Расширения

Существует плагин /модуль в Octopussy, которая в основном предназначена для модификации отчетов Octopussy. Такой подключаемый модуль состоит из файла описания, который определяет имя и функции подключаемого модуля, и файла кода с код Perl для обработки фактических данных.[18]

Существуют также расширения для программного обеспечения, связанного с Octopussy, например, а Nagios плагин, который проверяет основные службы Octopussy (например, Octo-Dispatcher, Octo-Scheduler и т. д.), а также состояния парсера Octopussy и разделы журнала.[19]

Услуги и шаблоны

Создание новых служб и шаблонов служб представляет собой наиболее важный способ расширения Octopussy без внесения изменений в исходный код. Однако, поскольку шаблоны обозначены как упрощенные обычные выражения, администраторы должны иметь хотя бы некоторые базовые знания о регулярных выражениях в целом. Кроме того, настоятельно рекомендуется использовать уже существующие службы, а также понимать значение основных полей объектов сообщения, которые включают идентификатор сообщения, шаблон, уровень журнала, таксономию, таблицу и ранг.[20]

Обычно мастер журналов используется для поиска в системе нераспознанных сообщений системного журнала для каждого устройства с целью создания новых шаблонов обслуживания. Во время процесса создание шаблонов должно быть таким, чтобы Octopussy мог различать сообщения в зависимости от их серьезности и таксономия.[21]

Смотрите также

использованная литература

  1. ^ "Подробный журнал изменений Octopussy". octopussy.pm, S. Thebert и др. 2014-04-15. Архивировано из оригинал на 2016-03-07. Получено 2017-03-21.
  2. ^ "Новости Octopussy - выпуск Octopussy v1.0.16!". octopussy.pm, S. Thebert и др. 2017-06-03. Получено 2017-11-03.
  3. ^ «Octopussy - Perl / XML Logs Analyzer, Alerter & Reporter». ubuntugeek.com, Ручи. Получено 2017-03-23.
  4. ^ "Octopussy 1.0.0 überwacht Logfiles". Linux Magazin, Матиас Хубер. Получено 2017-03-23.
  5. ^ «Осьминоги - Введение». gentoo-en.vfose.ru, Cyberwizzard и др.. Получено 2017-03-23.
  6. ^ "Часто задаваемые вопросы по Octopussy - как я могу работать с хостами Windows?". octopussy.pm, S. Thebert и др.. Получено 2017-03-23.
  7. ^ «Octopussy - Perl / XML Logs Analyzer, Alerter & Reporter». ubuntugeek.com, Ручи. Получено 2017-03-23.
  8. ^ «Пошаговая процедура установки Octopussy (RSyslog Server) в Ubuntu». vulpoint.be, Js Op de Beeck. Получено 2017-03-23.
  9. ^ "Поисковый сайт CPAN - search.cpan.org". cpan.org. Получено 2017-03-21.
  10. ^ «Осьминог». gentoo-en.vfose.ru, Cyberwizzard и др.. Получено 2017-03-23.
  11. ^ «Настройка устройств для отправки сообщений системного журнала в Octopussy». github.com, S. Thebert. Получено 2017-03-23.
  12. ^ "Протокол системного журнала BSD". IETF, Сетевая рабочая группа. Получено 2017-03-24.
  13. ^ «Надежная доставка системного журнала». IETF, Д. Нью, М. Т. Роуз. Получено 2017-03-24.
  14. ^ «Осьминог - Octopussy Octo-Dispatcher». github.com, S. Thebert. Получено 2017-03-23.
  15. ^ «Осьминог - Octopussy Octo-Parser». github.com, S. Thebert. Получено 2017-03-23.
  16. ^ "Осьминог - Осьминоги Двоичные". github.com, S. Thebert. Получено 2017-03-23.
  17. ^ «Осьминог - Octopussy-RRD». github.com, S. Thebert. Получено 2017-03-23.
  18. ^ "Плагин Octopussy Howto". octopussy.pm, S. Thebert. Получено 2017-03-24.
  19. ^ "Nagios Exchange - плагин Nagios, который проверяет Octopussy (check_octopussy.pl)". nagios.org/nagiosexchange. Получено 2017-03-24.
  20. ^ "Часто задаваемые вопросы о Octopussy - Что такое сообщение в Octopussy?". octopussy.pm, S. Thebert. Получено 2017-03-24.
  21. ^ «Учебник по Octopussy: создание новой службы». octopussy.pm, S. Thebert. Получено 2017-03-23.

внешние ссылки