لقد قمنا بتغطية وشرح المكدس المرن الذي يتكون من Logstash وElastic Search وKibana. يتم استخدام المكونات الثلاثة لجمع البيانات ومعالجة البيانات وتحليلها وتصور البيانات. لقد قمنا أيضًا بتغطية تثبيت وتكوين جميع مكونات Elastic Stack.

قمنا بتكوين Logstash لجمع السجلات من ملف سجل مصادقة Linux، ومعالجة السجلات المجمعة لاستخراج الرسائل والطابع الزمني وتخزينها إما في ملف CSV أو إرسالها إلى Elastic Search وKibana لتحليلها ورؤيتها لاحقًا.

يمكن استخدام المكدس المرن لكل من تحليلات البيانات وتحليل حوادث الأمن السيبراني بشكل مشابه سبلانك. استخدمنا المادة المخبرية من TryHackMe Logstash: وحدة معالجة البيانات غرفة.

ملاحظات دراسة الفريق الأزرق

الدورة العملية الكاملة لاختبار اختراق تطبيقات الويب

يسلط الضوء

ما هو المكدس المرن؟

المكدس المرن عبارة عن مجموعة من المكونات المختلفة مفتوحة المصدر المرتبطة ببعضها البعض لمساعدة المستخدمين على أخذ البيانات من أي مصدر وبأي تنسيق وإجراء بحث وتحليل وتصور البيانات في الوقت الفعلي.

بحث مرن


Elasticsearch هو محرك بحث وتحليل للنص الكامل يستخدم لتخزين المستندات بتنسيق JSON. يعد Elasticsearch مكونًا مهمًا يستخدم لتخزين البيانات وتحليلها وتنفيذ الارتباط بينها وما إلى ذلك.
إنه مبني على Apache Lucene ويوفر حلاً قابلاً للتطوير للبحث عن النص الكامل والاستعلام المنظم وتحليل البيانات.
يدعم Elasticsearch واجهة برمجة تطبيقات RESTFul للتفاعل مع البيانات.

سجل مخبأ

Logstash هو محرك معالجة بيانات يستخدم لأخذ البيانات من مصادر مختلفة، وتطبيق عامل التصفية عليها أو تطبيعها، ثم إرسالها إلى الوجهة التي يمكن أن تكون Kibana أو منفذ استماع.

كيبانا

Kibana عبارة عن تصور للبيانات على شبكة الإنترنت يعمل مع Elasticsearch لتحليل تدفق البيانات والتحقيق فيه وتصوره في الوقت الفعلي. يسمح للمستخدمين بإنشاء تصورات ولوحات معلومات متعددة لتحسين الرؤية.

إجابات الغرفة

ما هو المنفذ الافتراضي الذي يعمل عليه Elasticsearch؟

9200

ما هو إصدار Elasticsearch الذي قمنا بتثبيته في هذه المهمة؟

8.8.1

ما هو الأمر المستخدم للتحقق من حالة خدمة Elasticsearch؟

حالة ystemctl elasticsearch.service

ما هي القيمة الافتراضية لمتغير Network.host الموجود في ملف elasticsearch.yml؟

192.168.0.1

ما هو الفاصل الزمني لإعادة تحميل التكوين الذي تم تعيينه افتراضيًا في logstash.yml؟

ما هو إصدار Logstash الذي قمنا بتثبيته للتو؟

8.8.1

ما هو المنفذ الافتراضي الذي يعمل عليه Kibana؟

5601

كم عدد الملفات الموجودة في الدليل /etc/kibana/؟

3

ما هو البرنامج المساعد الذي يستخدم لإجراء طفرة في حقول الأحداث؟

تحور

ما البرنامج المساعد الذي يمكن استخدامه لإسقاط الأحداث بناءً على شروط معينة؟

يسقط

ما البرنامج المساعد الذي يوزع بيانات السجل غير المنظمة باستخدام أنماط مخصصة؟

يفهم باستفاضة

هل الفهرس خيار إلزامي في البرنامج المساعد Elasticsearch؟ (ياي / لا)

كلا

انظر إلى وثائق البرنامج المساعد لإدخال الملف؛ ما هو الحقل المطلوب في التكوين؟

طريق

انظر إلى وثائق التصفية الخاصة بملف CSV؛ ما هو خيار الحقل الثالث المذكور؟

أعمدة

ما هو البرنامج المساعد للإخراج المستخدم في المثال أعلاه؟

Elasticsearch

إذا أردنا قراءة دفق مستمر من منفذ TCP رقم 5678، فما هو مكون الإدخال الإضافي الذي سيتم استخدامه؟

برنامج التعاون الفني

كيف وفقا ل وثائق السجل، يتم استخدام المكونات الإضافية لبرنامج الترميز لتغيير تمثيل البيانات. ما هو البرنامج المساعد لبرنامج الترميز المستخدم لتمثيل البيانات المستندة إلى CSV؟

ملف CSV

ما هو البرنامج المساعد للتصفية الذي يستخدم لإزالة الحقول الفارغة من الأحداث؟

تقليم

ما هو البرنامج المساعد للتصفية الذي يتم استخدامه لإعادة تسمية حقول الأحداث واستبدالها وتعديلها؟

تحور

أضف اسم البرنامج المساعد لإعادة تسمية الحقل "src_ip" إلى "source_ip". والخط الثالث الثابت .

مرشح { تحور { plugin_name = { "field_1" = "field_2" } } }

إعادة التسمية => {"src_ip" => "source_ip"}

هل يمكننا استخدام مكونات إضافية متعددة للإخراج في نفس الوقت لإرسال البيانات إلى وجهات متعددة؟ (ياي / لا)

ياي

ما هو البرنامج المساعد لإخراج Logstash المستخدم لطباعة الأحداث إلى وحدة التحكم؟

com.stdout

قم بتحديث التكوين التالي لإرسال الحدث إلى خادم Syslog.

الإخراج { البرنامج المساعد { field1 => "my_host.com" field2 => 514 } }

سجل النظام، المضيف، المنفذ

ما هو الأمر المستخدم لتشغيل تكوين logstash.conf من سطر الأوامر؟

logstash -f logstash.conf

ما هي المكونات الإضافية للإدخال والتصفية والإخراج في التكوين المذكور أدناه إذا أردنا الحصول على القيم المفصولة بفواصل من سطر الأوامر، وتطبيق عامل التصفية والإخراج مرة أخرى على الجهاز لاختبار النتيجة؟

الإدخال { input_plugin {} مرشح { filter_plugin {} } الإخراج {output_plugin {} }

ستدين، CSV، ستدوت

تجول الفيديو

, ,
عرض التعليقات

معتصم

عن المؤلف

أقوم بإنشاء ملاحظات حول الأمن السيبراني وملاحظات التسويق الرقمي والدورات التدريبية عبر الإنترنت. أقدم أيضًا استشارات التسويق الرقمي بما في ذلك، على سبيل المثال لا الحصر، تحسين محركات البحث وإعلانات Google وMeta وإدارة CRM.

عرض المقالات