Осьминог (программное обеспечение)

Осьминог
Разработчик(и)	Себастьян Тебер и другие.
Первоначальный выпуск	декабрь 2005 г.
Стабильная версия	1.0.16 / 3 июня 2017 г .; 7 лет назад
Репозиторий	github .с /Octopussy-Проект /Осьминожка ;
Написано в	Перл , АСП
Операционная система	Линукс
Тип	Анализ журналов , программное обеспечение безопасности
Лицензия	лицензия GPLv2
Веб-сайт	осьминог .pm

Octopussy , также известный как 8Pussy , — это с открытым исходным кодом бесплатное компьютерное программное обеспечение , которое контролирует системы, постоянно анализируя данные системного журнала , которые они генерируют и передают на такой центральный сервер Octopussy (поэтому его часто называют решением SIEM ). ^[3] Таким образом, такое программное обеспечение, как Octopussy, играет важную роль в поддержании системы управления информационной безопасностью в средах, соответствующих стандарту ISO/IEC 27001 .

Octopussy имеет возможность контролировать любое устройство, поддерживающее протокол системного журнала , такое как серверы , маршрутизаторы , коммутаторы, межсетевые экраны , балансировщики нагрузки , а также его важные приложения и службы . Основная цель программного обеспечения — предупреждать администраторов и пользователей о различных событиях, таких как сбои в работе системы, атаки на системы или ошибки в приложениях. ^[4] Однако, в отличие от Nagios или Icinga , Octopussy не является средством проверки состояния , и поэтому проблемы не могут быть решены внутри приложения. Программное обеспечение также не дает никаких указаний относительно того, какие сообщения следует анализировать, а какие нет. Таким образом, Octopussy можно считать менее мощным, чем другое популярное коммерческое программное обеспечение в той же категории (мониторинг событий и анализ журналов). ^[5]

Octopussy совместим со многими Linux дистрибутивами системы , такими как Debian , Ubuntu , OpenSUSE , CentOS , RHEL и даже с мета-дистрибутивами, такими как Gentoo или Arch Linux . Хотя Octopussy изначально разрабатывался для работы в Linux, его можно было портировать на другие варианты Unix, такие как FreeBSD с минимальными усилиями . Octopussy имеет обширные функции создания отчетов, а также различные интерфейсы с другим программным обеспечением, например, NSCA (Nagios), Jabber/XMPP и Zabbix . С помощью такого программного обеспечения, как Snare, даже журналы событий Windows. можно обрабатывать ^[6]

Octopussy лицензируется на условиях GNU General Public License .

Характеристики

Хотя Octopussy является бесплатным программным обеспечением с открытым исходным кодом, оно обладает множеством характеристик, которые также можно найти в некоторых профессиональных корпоративных приложениях, таких как Splunk , SAWMILL или Kiwi Syslog.

Скриншот веб-интерфейса Octopussy, отображающий дашборд с наиболее важной агрегированной информацией. — Страница панели управления в Octopussy 0.9.4+ (2007-2014)

Особенности осьминога

На момент написания Octopussy имеет следующий набор функций:

Базовая LDAP поддержка ( версия 1.0+) для пользователей и контактов Octopussy с механизмом фильтрации.
Отправка оповещений по электронной почте, через IM (Jabber), NSCA (Nagios) и Zabbix
Функциональность карты для отображения системной инфраструктуры, известной Octopussy.
Экспортируемые отчеты по электронной почте, FTP и SCP
Плагины ввода и вывода для ручных и автоматических отчетов
Планирование отчетов и автоматическое формирование отчетов на основе параметров
Средство просмотра журналов для поиска сообщений системного журнала, полученных Octopussy.
RRDtool . для графического отображения данных активности системного журнала для включенных служб
Комплексные определения сервисов (Apache 2, BIND, BSD Kernel...)
Мастер . для легкого создания новых служб и/или шаблонов сообщений для существующих служб
Возможность включения или отключения служб и оповещений для каждой наблюдаемой системы.
Онлайн-обновления сервисов, таблиц и l18n (языковая поддержка)
Многоязычная поддержка: английский французский немецкий итальянский испанский португальский русский
Веб-интерфейс для просмотра текущего состояния устройств, оповещений, сообщений журнала и т. д.
Тематический интерфейс и отчетные документы
Управление основными службами Octopussy из оболочки операционной системы.
Файлы конфигурации в формате плоского текста (интегрируются со многими редакторами конфигурации)
Возможность своевременного ротирования и хранения полученных сообщений системного журнала в разных местах.
Управление пользователями с возможностью детальной настройки разрешений
Простое описание стилей и компонентов графического интерфейса в ASP для легкой модификации.

Поддерживаемые услуги

Некоторые из (мета)сервисов , поддерживаемых/известных Octopussy:

Apache 2, BIND, ядро BSD, BSD PAM, система BSD, маршрутизаторы Cisco (ASR), коммутаторы Cisco, ClamAV, обратный прокси-сервер DenyAll, DRBD, F5 BigIP, Fortinet FW, HP-Tools, Ironport MailServer, Juniper Netscreen FW, Juniper Netscreen NSM, LDAP, Linux AppArmor, Linux Auditd, Linux IPTables, ядро Linux, Linux PAM, система Linux, Monit, MySQL, Nagios, Neoteris/Juniper FW, NetApp NetCache, Postfix, PostgreSQL, Samba, Samhain, SNMPd, Squid, SSHd, Системный журнал-ng, TACACS, VMware ESX(i), агент ловушки Windows, система Windows, Xen... ^[7]

Скриншот веб-интерфейса Octopussy, отображающий средство просмотра оповещений с сообщениями о текущих происшествиях. — Страница просмотра предупреждений в Octopussy 0.9.4+ (2007-2014)

Обрабатываемые события

События, получаемые от служб и, следовательно, обрабатываемые Octopussy, включают:

Неудачные и/или успешные входы в систему, особенно пользователей с более высокими привилегиями.
Нарушение прав доступа или политик в приложениях и операционных системах
Доступ на запись и/или чтение в критических средах, например, с помощью AppArmor или SELinux.
Установленные или прекращенные VPN-туннели в системах, таких как, например, Juniper Netscreen.
Объекты, такие как процессы или файлы, контекст безопасности или конфигурация которых изменились.
Запущенные или остановленные процессы на уровне операционной системы
Критические состояния системы, такие как (неустранимый) сбой оборудования или программного обеспечения.
Изменение состояния операционной системы из-за загрузки, перезагрузки или завершения работы
Информация о сетевых подключениях/трафике, включая сообщения ICMP и т. д.
Обнаружение или иное обращение с вредоносным ПО (например, червями, вирусами, троянами)

Зависимости

Программное обеспечение требует установки RSYSLOG на сервере системного журнала и ожидает, что отслеживаемые системы будут запускать одну из многочисленных доступных служб системного журнала, например, syslogd /klogd, RSYSLOG или syslog-ng. ^[8]

Программное обеспечение также зависит от установленного HTTP-сервера Apache 2 с Apache::ASP, Mod_Perl и Mod_SSL. Octopussy также требует СУБД MySQL (фактическая база данных устанавливается/копируется во время установки Octopussy), а также последний интерпретатор Perl, установленный в операционной системе, с различными модулями Perl из CPAN (например, Crypt::PasswdMD5, DBD::mysql, JSON , Unix::Syslog, XML ::Simple). ^[9] Полный список этих модулей можно найти в файле README.txt пакетов/архивов программного обеспечения . Кроме того, NSCD необходимы и RRDtool. RRDtool помогает создавать графики, которые будут отображаться на информационной панели Octopussy или на уровне каждого устройства/услуги. ^[10]

Архитектура

Изображение, показывающее архитектуру программного обеспечения Octopussy, включая его наиболее важные компоненты. — Архитектура Осьминожки 1.0.14 (2014 г.)

Octopussy получает сообщения системного журнала через протокол системного журнала и поэтому ведет себя пассивно, не запуская никаких сетевых агентов на удаленных машинах, находящихся под мониторингом / наблюдением . ^[11] Octopussy полностью соответствует RfC 3164 и RfC 3195 IETF , описывая системный журнал как механизм журналирования в Unix-подобных/BSD операционных системах. ^[12]^[13] Это особенно включает внутреннее представление объекта и принцип строгости, где это применимо.

Программное обеспечение управляется механизмом с полусостоянием корреляции событий . Это означает, что механизм записывает и, таким образом, знает свое внутреннее состояние, но использует его только в некоторой степени для связывания логически связанных элементов одного и того же устройства, чтобы сделать вывод (т. е. сгенерировать предупреждение). В Octopussy механизм корреляции с полусостоянием и его так называемым скользящим окном (сдвигающееся окно представляет собой логическую границу ряда событий в течение определенного периода времени) способен сравнивать известные прошлые события с настоящими на основе ограниченного количество сравнительных значений.

Осьминог Диспетчер

Octo-Dispatcher — это компонент, используемый программным обеспечением Octopussy для получения строк системного журнала из RSYSLOG и отправки их в каталоги устройств. ^[14] Каждому устройству, зарегистрированному и активированному в Octopussy, присваиваются сообщения системного журнала в зависимости от имени устройства. Заслуживает внимания также соседний компонент Octo-Replay — программа, используемая программным обеспечением Octopussy для воспроизведения сообщений журнала для какого-либо устройства или службы (она получает и обрабатывает распознанные журналы и помещает их обратно во входящий каталог).

Осьминог-парсер

Octo-Parser и Octo-Uparser — два наиболее важных основных компонента Octopussy. Octo-Parser — это программа, используемая программным обеспечением Octopussy для анализа журналов в формате системного журнала для каждого устройства, зарегистрированного в Octopussy. ^[15] Он в основном использует механизм регулярных выражений и начинает сопоставление с образцом входящих сообщений системного журнала. Octo-Uparser перезапускается каждый раз, когда изменяются службы устройства, чтобы проверить, могут ли ранее полученные «неизвестные» сообщения журнала быть связаны со службой.

В некоторых случаях Octo-Pusher также вызывается заранее для обработки сообщений, не относящихся к системному журналу, поступающих от некоторых устройств. В этом отношении настройка устройства «асинхронно» полезна для обработки таких сообщений журнала после того, как они были отправлены на сервер Octopussy, используя, например, FTP, rsync или SSH/SCP.

Скриншот веб-интерфейса Octopussy, отображающий график RRD с совокупными данными сообщений устройств. — Страница графика RRD в Octopussy 0.9.4+ (2007–2014)

Интерфейс осьминога

Интерфейс Octopussy ( GUI ) является пользовательским интерфейсом по умолчанию и обеспечивает управление конфигурацией , управление устройствами и службами, а также определение предупреждений и, следовательно, расширяет основные компоненты Octopussy. Устройства отображаются в табличной форме на странице «Устройства » со следующими дескрипторами как минимум: имя хоста , IP-адрес , тип журнала, модель/тип устройства, полное доменное имя и ОС .

Следовательно, интерфейс (Octo-Web) в основном обеспечивает доступ к другим основным компонентам Octopussy, таким как Octo-Commander, Octo-Message-Finder, Octo-Reporter и Octo-Statistic-Reporter. Интерфейс/графический интерфейс Octopussy написан на Perl 5 с использованием Apache::ASP для структурирования и отображения контента. ^[16]

В дополнение к этому, доступ к основным службам Octopussy также можно получить из оболочки операционной системы. Это представляет собой удобный способ для администраторов запускать/останавливать службы или вносить фундаментальные изменения в конфигурацию.

Осьминог РРД

Octopussy RRD Генератор графов является основным компонентом программного обеспечения и устанавливается по умолчанию. Поскольку создание таких графиков требует очень больших ресурсов, администраторы могут отключить его на сервере системного журнала Octopussy с менее мощным процессором и небольшим объемом оперативной памяти . Сгенерированные графики RRD отображают активность всех активных служб для отслеживаемых устройств, в значительной степени зависящую от конкретной службы. После перезапуска программного обеспечения Octopussy или во время работы Octo-Dispatcher и Octo-Parser всегда сначала обрабатывают сообщения системного журнала в своем буфере и очереди , а создание графика RRD задерживается. ^[17] Octo-RRD также зависит от Octo-Scheduler для выполнения функции Octopussy::Report для создания графиков RRD активности системного журнала, которые были запланированы ранее. Наконец, Octo-Sender имеет возможность отправлять данные отчета произвольным получателям.

Расширения

В Octopussy имеется система плагинов / модулей , которая в основном ориентирована на модификацию отчетов Octopussy. Такой плагин состоит из файла описания, определяющего имя и функции плагина, и файла кода с кодом Perl для обработки фактических данных. ^[18]

Существуют также расширения для программного обеспечения, связанного с Octopussy, например, плагин Nagios , который проверяет основные службы Octopussy (т. е. Octo-Dispatcher, Octo-Scheduler и т. д.), а также состояния парсера Octopussy и разделы журнала. ^[19]

Сервисы и шаблоны

Создание новых сервисов и шаблонов сервисов представляет собой наиболее важный способ расширения Octopussy без внесения изменений в исходный код. Однако, поскольку шаблоны представляют собой упрощенные регулярные выражения , администраторы должны иметь хотя бы некоторые базовые знания о регулярных выражениях в целом. Кроме того, настоятельно рекомендуется использовать уже существующие службы, а также понимать значение основных полей объектов сообщения, а именно идентификатора сообщения, шаблона, уровня журнала, таксономии, таблицы и ранга. ^[20]

Обычно мастер журналов используется для поиска в системе нераспознанных сообщений системного журнала для каждого устройства для создания новых шаблонов обслуживания. В ходе процесса создание шаблонов должно осуществляться таким образом, чтобы Octopussy мог различать сообщения на основе их серьезности и таксономии . ^[21]

См. также

Управление журналами и аналитика
Splunk для анализа корпоративных журналов . — программное обеспечение
Сравнение систем сетевого мониторинга
Программное обеспечение для анализа веб-журналов
Список программного обеспечения для веб-аналитики

Ссылки

^ «Подробный журнал изменений Octopussy» . Octopussy.pm, С. Теберт и др. 15 апреля 2014 г. Архивировано из оригинала 07 марта 2016 г. Проверено 21 марта 2017 г.
^ "Новости Octopussy - Выпуск Octopussy v1.0.16!" . Octopussy.pm, С. Теберт и др. 03.06.2017 . Проверено 3 ноября 2017 г.
^ «Octopussy — анализатор журналов Perl/XML, средство оповещения и создания отчетов» . ubuntugeek.com, Ручи . Проверено 23 марта 2017 г.
^ «Octopussy 1.0.0 отслеживает файлы журналов» . Журнал Linux, Матиас Хубер. 14 ноября 2011 года . Проверено 23 марта 2017 г.
^ «Осьминоги – Знакомство» . gentoo-en.vfose.ru, Cyberwizzard и др . Проверено 23 марта 2017 г. ^{[ постоянная мертвая ссылка ]}
^ «Часто задаваемые вопросы по Octopussy — как мне обращаться с хостами Windows?» . Octopussy.pm, С. Теберт и др . Проверено 23 марта 2017 г.
^ «Octopussy — анализатор журналов Perl/XML, средство оповещения и создания отчетов» . ubuntugeek.com, Ручи . Проверено 23 марта 2017 г.
^ «Пошаговая процедура установки Octopussy (сервер RSyslog) в Ubuntu» . vulpoint.be, Js Op de Beeck . Проверено 23 марта 2017 г.
^ «Сайт поиска CPAN — search.cpan.org» . cpan.org . Проверено 21 марта 2017 г.
^ «Осьминожка» . gentoo-en.vfose.ru, Cyberwizzard и др . Проверено 23 марта 2017 г. ^{[ постоянная мертвая ссылка ]}
^ «Настройка устройств для отправки сообщений системного журнала в Octopussy» . github.com, С. Теберт . Проверено 23 марта 2017 г.
^ «Протокол системного журнала BSD» . IETF, Сетевая рабочая группа . Проверено 24 марта 2017 г.
^ «Надежная доставка системного журнала» . IETF, Д. Нью, М.Т. Роуз . Проверено 24 марта 2017 г.
^ «Осьминожка — Октопусси Октодиспетчер» . github.com, С. Теберт . Проверено 23 марта 2017 г.
^ «Осьминожка — Octopussy Octo-Parser» . github.com, С. Теберт . Проверено 23 марта 2017 г.
^ «Осьминоги — бинарные файлы осьминогов» . github.com, С. Теберт . Проверено 23 марта 2017 г.
^ «Осьминожка – Осьминожка-РРД» . github.com, С. Теберт . Проверено 23 марта 2017 г.
^ «Как использовать плагин Octopussy» . Octopussy.pm, С. Теберт . Проверено 24 марта 2017 г.
^ «Nagios Exchange — плагин Nagios, который проверяет Octopussy (check_octopussy.pl)» . nagios.org/nagiosexchange . Проверено 24 марта 2017 г.
^ «Часто задаваемые вопросы об Octopussy: что такое сообщение в Octopussy?» . Octopussy.pm, С. Теберт . Проверено 24 марта 2017 г.
^ «Учебное пособие по Octopussy: создание нового сервиса» . Octopussy.pm, С. Теберт . Проверено 23 марта 2017 г.

Внешние ссылки

[1] «Подробный журнал изменений Octopussy» . Octopussy.pm, С. Теберт и др. 15 апреля 2014 г. Архивировано из оригинала 07 марта 2016 г. Проверено 21 марта 2017 г.

[2] "Новости Octopussy - Выпуск Octopussy v1.0.16!" . Octopussy.pm, С. Теберт и др. 03.06.2017 . Проверено 3 ноября 2017 г.

[3] «Octopussy — анализатор журналов Perl/XML, средство оповещения и создания отчетов» . ubuntugeek.com, Ручи . Проверено 23 марта 2017 г.

[4] «Octopussy 1.0.0 отслеживает файлы журналов» . Журнал Linux, Матиас Хубер. 14 ноября 2011 года . Проверено 23 марта 2017 г.

[5] «Осьминоги – Знакомство» . gentoo-en.vfose.ru, Cyberwizzard и др . Проверено 23 марта 2017 г. ^{[ постоянная мертвая ссылка ]}

[6] «Часто задаваемые вопросы по Octopussy — как мне обращаться с хостами Windows?» . Octopussy.pm, С. Теберт и др . Проверено 23 марта 2017 г.

[7] «Octopussy — анализатор журналов Perl/XML, средство оповещения и создания отчетов» . ubuntugeek.com, Ручи . Проверено 23 марта 2017 г.

[8] «Пошаговая процедура установки Octopussy (сервер RSyslog) в Ubuntu» . vulpoint.be, Js Op de Beeck . Проверено 23 марта 2017 г.

[9] «Сайт поиска CPAN — search.cpan.org» . cpan.org . Проверено 21 марта 2017 г.

[10] «Осьминожка» . gentoo-en.vfose.ru, Cyberwizzard и др . Проверено 23 марта 2017 г. ^{[ постоянная мертвая ссылка ]}

[11] «Настройка устройств для отправки сообщений системного журнала в Octopussy» . github.com, С. Теберт . Проверено 23 марта 2017 г.

[12] «Протокол системного журнала BSD» . IETF, Сетевая рабочая группа . Проверено 24 марта 2017 г.

[13] «Надежная доставка системного журнала» . IETF, Д. Нью, М.Т. Роуз . Проверено 24 марта 2017 г.

[14] «Осьминожка — Октопусси Октодиспетчер» . github.com, С. Теберт . Проверено 23 марта 2017 г.

[15] «Осьминожка — Octopussy Octo-Parser» . github.com, С. Теберт . Проверено 23 марта 2017 г.

[16] «Осьминоги — бинарные файлы осьминогов» . github.com, С. Теберт . Проверено 23 марта 2017 г.

[17] «Осьминожка – Осьминожка-РРД» . github.com, С. Теберт . Проверено 23 марта 2017 г.

[18] «Как использовать плагин Octopussy» . Octopussy.pm, С. Теберт . Проверено 24 марта 2017 г.

[19] «Nagios Exchange — плагин Nagios, который проверяет Octopussy (check_octopussy.pl)» . nagios.org/nagiosexchange . Проверено 24 марта 2017 г.

[20] «Часто задаваемые вопросы об Octopussy: что такое сообщение в Octopussy?» . Octopussy.pm, С. Теберт . Проверено 24 марта 2017 г.

[21] «Учебное пособие по Octopussy: создание нового сервиса» . Octopussy.pm, С. Теберт . Проверено 23 марта 2017 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]