graylog - экстракторы и дашборды

Продолжаем рассматривать graylog и на этот раз мы затронем дашборды.
Но перед этим перейдем в самый первый раздел (Search) и попробуем определить какие ip адреса нарушителей мы сможем найти.

Здесь видно, что несколько десятков сообщений было связанных с приложением ssh, попробуем более пристально рассмотреть одно из них:

graylog - потоки и оповещения

После небольшого обзора graylog в прошлый раз перейдем к рассмотрению практических задач.
И начнем с простого, задача на сегодня - это выявлять попытки подбора паролей по ssh.

Первым делом создадим новый stream.
Для этого нужно перейти в Streams и нажать "Create Stream".
К слову, можно заметить, что по дефолту уже создан поток, который собирает все входящие сообщения.

graylog - начало

Централизованный сбор логов - это хорошо известная технология, которая применяется десятилетиями.
Практически любая Linux система имеет на борту rsyslog или syslog-ng, которые из коробки умеют отправлять все логи на удаленный сервер.
Но основная проблема в том, что с ними дальше делать, ведь логи нужно парсить, хранить так чтобы можно было искать, нужны уведомления когда что-то произойдет.
Подобные задачи относительно недавно начали успешно решать, и один из лидеров такого решения - это знаменитый ELK.
Elastic стек - позволяет принимать самые разнообразные данные (big data), производить нормализацию данных (приведение к общему виду), и создавать дашборды для визуализации.
Возможности ELK очень широкие, множество корпораций использует ELK, но при этом стек все же несколько громоздкий и не так прост в конфигурировании.

С другой стороны, есть еще один крупный игрок на рынке сбора данных - это Graylog.

LXD - используемые команды

Небольшая подборка команд LXD, разбитая на различные группы.

Напомню так же, что работает автодополнение команд, после lxc можно использовать табуляцию.
И да, большинство команд начинается с lxc, такое вот не совсем логичное поведение.
 
[Работа с сетью]
lxc network list
lxc network info lxdbr0 (bytes/packets, которые были отправлены)
lxc network show lxdbr0 (ip адресация и NAT)
lxc network list-leases lxdbr0

Контейнеры LXD - краткий обзор

Контейнеры сейчас очень популярная тема. Наверное так же как лет 10 назад была популярна виртуализация и уход от физических серверов.
Уже несколько лет у всех слуху docker контейнеры, особенно любят их разработчики, это действительно удобно и позволяет пакетировать любое приложение со всеми библиотеками и зависимостями.
Но рассмотрим мы не очень известный, но вместе с тем очень интересный вид контейнеризации - LXD.

LXD (или LinuX container Daemon) - это менеджер контейнеров или некое подобие гипервизора.
Хотя если быть более точным - это демон с набором различных удобных утилит.
Кроме этого, предоставляется репозиторий образов самых часто используемых дистрибутивов Linux (https://uk.images.linuxcontainers.org/) и неплохой REST API. Среди них можно найти как полновесные centos и ubuntu, так и легковесный alpine (размером пару мегабайт).
При этом очень удобно то что и локальная работа, и удаленная (да, можно установить LXD на удаленном сервере и затем подключиться к нему и управлять контейнерами по сети) ничем не отличается и единообразна.