Октопуси (програм)

програм

Октопуси, исто така познат како 8Pussy, е бесплатен и софтвер со отворен извор компјутерски софтвер кој ги следи системите, со постојано анализирање на syslog податоците, кои што ги генерираат и ги пренесуваат на централен сервер на Октопуси (на тој начин честопати наречен SIEM решение).[3] Затоа, софтверот како Октопуси игра важна улога во одржувањето на ISMS во рамките на ISO / IEC 27001 компатибилните средини.

Octopussy
ПрограмериSebastien Thebert and others
Првично изданиеDecember 2005[1]
Стабилно издание1.0.16 / јуни 3, 2017; пред 7 години (2017-06-03)[2]
Прог. јазикPerl, ASP
Опер. системLinux
ВидLog analysis, security software
ЛиценцаGPLv2
Мреж. местоoctopussy.pm

Octopussy има можност да следи кој било уред што го поддржува протоколот syslog, како што се опслужувачи, рутери, прекинувачи, заштитени ѕидови, балансери за оптоварување и неговите важни апликации и услуги. Главната цел на софтверот е да ги предупреди своите администратори и корисници за различни видови настани, како што се испади на системот, напади врз системи или грешки во апликациите.[4] Сепак, за разлика од Nagios или Icinga, Октопуси не е проверка на состојбата и затоа проблемите не можат да се решат во рамките на апликацијата. Софтверот, исто така, не дава рецепти или насоки, за тоа кои пораки мора / не смеат да се анализираат. Како такво, Октопуси може да се види како помалку моќен од другиот популарен комерцијален софтвер од истата категорија (мониторинг на настани и анализа на дневник).[5]

Octopussy е компатибилен со многу системски дистрибуции на Linux, како што се Debian, Ubuntu, OpenSUSE, CentOS, RHEL, па дури и мета-дистрибуции како Gentoo или Arch Linux. Иако Октопуси првично беше дизајниран да работи на Linux, тој може да се пренесе на други варијанти на Unix како FreeBSD со минимален напор. Октопуси има обемни функции за генерирање извештаи, како и разни интерфејси со друг софтвер, како на пр. NSCA (Nagios), Jabber / XMPP и Zabbix. Со помош на софтвер како Snare, дури и Windows EventLogs може да се обработи.[6]

Октопуси е лиценциран софтвер според условите на Општата јавна лиценца на ГНУ.

Одлики

уреди

Иако Octopussy е бесплатен и софтвер со отворен извор, тој има различни одлики. Истите тие одлики се наоѓаат во некои професионални апликации на претпријатијата како Splunk, SAWMILL или Kiwi Syslog.

 
Страница на контролната табла во Октопуси 0,9,4+ (2007-2014)

Октопуси одлики

уреди

За време на пишувањето на оваа оригинална статија, Октопуси доаѓаат со следниов пакет одлики:

  • Основна поддршка на LDAP ( v 1.0+) за корисници на Octopussy и контакти со механизам за филтрирање
  • Предупредување испраќање по е-пошта, IM (Jabber), NSCA (Nagios) и Zabbix
  • Функционалност на картата за прикажување на системската инфраструктура позната на Октопуси
  • Известувачки извештаи по е-пошта, FTP и SCP
  • Влезни и излезни приклучоци за рачни и автоматски извештаи
  • Распоред на извештаи и автоматско генерирање извештаи врз основа на параметрите
  • Прегледувач на дневници за пребарување на syslog пораки примени од Октопуси
  • RRDtool за да обезбеди графикон на податоци за активност на syslog за овозможени услуги
  • Сеопфатни дефиниции за услуги (Apache 2, BIND, BSD кернел)... )
  • Волшебник за лесно создавање нови услуги и / или обрасци за пораки за постојните услуги
  • Опција за овозможување или оневозможување на услуги и сигнали за секој систем што е под надзор
  • Ажурирања преку Интернет за услуги, табели и l18n (јазична поддршка)
  • Повеќејазична поддршка: англиски француски германски италијански шпански португалски руски
  • Веб-интерфејс за прегледување на тековниот статус на уредите, сигналите, најавите пораки итн.
  • Тематски интерфејс и документи за извештаи
  • Управување со основните услуги на Октопуси од школка на оперативниот систем
  • Форматирани конфигурациски податотеки со рамен текст (интегрирани со многу уредници за конфигурација)
  • Опција за навремено ротирање и зачувување на примените syslog пораки на различни локации
  • Управување со корисникот со можност за конфигурација на грануларна дозвола
  • Едноставна контура на стилови и GUI компоненти во ASP за лесна модификација

Поддржани услуги

уреди

Некои од (мета-) услугите поддржани од / познати од Октопуси се:

Оригиналните називи на поддржаните услуги на англиски јазик се:

Apache 2, BIND, BSD кернел, BSD PAM, BSD систем, Cisco насочувачи (ASR), Cisco прекинувачи, ClamAV, DenyAll Reverse Proxy, DRBD, F5 BigIP, Fortinet FW, HP-Tools, Ironport MailServer, Juniper Netscreen FW, Juniper Netscreen NSM, LDAP, Linux AppArmor, Linux Auditd, Linux IPTables, Linux Kernel, Linux PAM, Linux System, Monit, MySQL, Nagios, Neoteris / Juniper FW, NetApp NetCache, Postfix, PostgreSQL, Samba, Samhain, SNMPd, Squid, SSHd, Syslog-ng, TACACS, VMware ESX (i), Windows Snare Agent, Windows System, Xen...[3]

 
Страницата за прегледување предупредувања во Октопуси 0,9,4+ (2007-2014)

Настани за процеси

уреди

Настаните што се побаруваат од услугите, а со тоа и секако се обработуваат од Октопуси, може да вклучуваат:

  • Неуспешни и / или успешни најавувања, особено на повисоки привилегирани корисници
  • Повреда на дозволите за пристап или политиките во апликациите и оперативните системи
  • Напишете и / или прочитајте пристап во критични средини, на пр., Со AppArmor или SELinux
  • Воспоставени или завршени VPN тунели во системите, како на пр Junунипер мрежен екран
  • Објекти, како што се процеси или податотеки, кои безбедносниот контекст или конфигурацијата се сменија
  • Започнати или запрени процеси на ниво на оперативен систем
  • Критични состојби на системот како неуспех на хардверот или софтверот (не може да се врати)
  • Промена во состојбата на оперативниот систем поради подигнување, рестартирање или исклучување
  • Информации во врска со мрежните врски / сообраќај, вклучувајќи ги и пораките на ICMP, итн.
  • Откривање или на друг начин ракување со малициозен софтвер (т.е. црви, вируси, тројанци)

Што е потребно

уреди

Софтверот бара да се има инсталирано следниот пакет RSYSLOG на syslog-сервер и очекува да има системи кои се следат за да се кандидира една од бројните достапни syslog услуги, како на пример syslogd / klogd, RSYSLOG или syslog-ng.[7]

Софтверот понатаму зависи од инсталираниот сервер наречен - Apache 2 HTTP сервер, со Apache :: ASP, Mod_Perl и Mod_SSL. Октопуси и исто така бара MySQL DBMS (оваа вистинската дата база на податоци е инсталирана или копирана за време на поставувањето на Октопуси) како и најнов инсталиран преведувач на Перл кој треба да е инсталиран на оперативниот систем, со различни Perl модули од CPAN (на пр. Crypt::PasswdMD5, DBD::mysql, JSON, Unix::Syslog, XML::Simple).[8] Сеопфатен список на овие модули може да се најде во податотеката README.txt на софтверските пакети / архиви. Покрај тоа, NSCD и RRDtool се услов кој треба да се исполни. RRDtool помага во создавање графици што ќе бидат прикажани на контролната табла на Октопуси или прикажани на ниво на уред / по услуга.[9]

Архитектура

уреди
 
Архитектура на Октопуси 1.0.14 (2014)

Октопуси прима syslog пораки преку syslog протокол и затоа се однесува пасивно, а со тоа и не извршува никаков вид мрежен агент на далечинските машини под мониторинг / надзор.[10] Октопуси целосно одговара на RfC 3164 и RfC 3195 на IETF, опишувајќи го syslog како механизам за најавување во оперативните системи слични на Unix / BSD.[11][12] Тоа особено ја вклучува внатрешната репрезентација на принцип за одржување и сериозност - онаму каде што е применливо ова правило.

Софтверот е управуван од полу државен мотор за корелација на настани. Ова значи дека моторот ја снима и ја знае својата внатрешна состојба, но го користи само до одреден степен својата меморија за да ги поврзе логично поврзаните елементи за истиот уред, со цел да донесе заклучок (т.е. да генерира предупредување). Во Октопуси, полудржавниот мотор за корелација, со т.н. лизгачки прозорец (менувачки прозорец е логичка граница на голем број настани за одреден временски период), е способен да споредува познати минати настани со сегашни засновани на ограничен број на компаративни вредности.

Октопуси диспечер

уреди

Окто-диспечер е компонента што ја користи софтверот Октопуси за да прима линии на syslog од RSYSLOG и да ги испраќа во директориумите на уредите.[13] Секој уред регистриран и активиран во рамките на Octopussy ги добива своите syslog пораки доделени на него во зависност од името на уредот. За одбележување е и соседната компонента Octo-Replay, која е програма што ја користи софтверот Octopussy за репродукција на пораки за евиденција за некој уред или услуга (прима и обработува признати логови и ги враќа во влезниот директориум).

Октопуси Парсер

уреди

Окто-Парсерот и Окто-Апарсерот се две од најважните основни компоненти на Октопуси. Octo-Parser е програма што ја користи софтверот Octopussy за анализирање на дневниците во формат syslog за секој уред регистриран во Octopussy.[14] Во основа тој користи мотор regex и започнува совпаѓање на моделот на дојдовните syslog пораки. Octo-Uparser се рестартира секогаш кога се менуваат услугите на уредот, за да провери дали претходно добиените „непознати“ пораки за најавување можат да бидат поврзани со некоја услуга.

Во некои случаи, Окто-Pusher исто така се повикува однапред да обработи некои од пораките што не доаѓаат од syslog. Во таа насока, поставувањето на уредот „асинхрона“ е корисно за обработка на ваквите пораки од евиденцијата, откако тие се испратени до сервер Октопуси користејќи пр. FTP, rsync или SSH / SCP.

 
Страница за графици со RRD во Октопуси 0,9,4+ (2007-2014)

Интерфејс за Октопуси

уреди

Интерфејсот на Octopussy ( GUI ) е стандарден графички кориснички интерфејс и обезбедува управување со конфигурација, управување со уреди и услуги, како и дефинирање на предупредување и затоа ги проширува основните компоненти на Octopussy. Уредите се прикажани во табеларна форма на страницата Уреди, кој и содржи минимум следниве дескриптори: име на домаќин, IP-адреса, тип на дневник, модел / тип на уред, FQDN и ОС.

Оттука, можеме да заклучиме дека интерфејсот (Окто-Веб) главно обезбедува пристап до другите основни компоненти на Октопуси, како Окто-командант, Пронаоѓач на Окто-пораки, Окто-репортер и Окто-статистички-репортер. Предниот крај / GUI на Octopussy е напишан во Perl 5, користејќи Apache :: ASP за структурирање и прикажување содржина.[15]

Покрај тоа, дополнително до основните услуги на Октопуси може да се пристапи и од школка на оперативниот систем. Тоа претставува пригоден начин за администраторите да започнат / стопираат услуги или да направат фундаментални и битни промени во конфигурацијата.

Октопуси RRD

уреди

Таканаречениот, генераторот на графикони, Octopussy RRD, е основна компонента на софтверот и истиот е инсталиран стандардно. Бидејќи генерацијата на такви графици е многу интензивна за ресурси, администраторите можат да се одлучат да ја оневозможат на серверот за блокирање на Octopussy со помалку моќен процесор и мала количина RAM меморија. Создадените графици RRD, ја прикажуваат активноста на сите активни услуги за уредите што се следат, многу зависно од специфичната услуга. По рестартирање на софтверот Octopussy или за време на работата на истиот, Octo-Dispatcher и Octo-Parser секогаш ќе ги обработуваат syslog пораките во нивниот тампон и ќе чекаат во редот, а генерирањето на графици RRD е одложено.[16] Octo-RRD понатаму зависи од Octo-Scheduler, за извршување на функцијата Octopussy :: Report со цел да генерира графици за RRD на syslog активност, кои се закажани претходно. Конечно Octo-Sender има можност да испраќа податоци за извештаи до произволни приматели.

Екстензии

уреди

Во Октопуси дополнително постои и систем на приклучок / модул, кој главно е насочен кон модификација на извештаите на Октопуси. Таквиот приклучок се состои од податотека за опис, која ги дефинира името и функциите на приклучокот и податотеката со код со перл-код за обработка на реалните податоци.[17]

Исто така, постојат додатоци за софтвер поврзан со Октопуси, како на пр. Додаток на Нагиос кој ги проверува основните услуги на Октопуси (т.е. Окто-диспечер, окто-распоредувач и сл.) Како и статуси на Парсер на Октопуси и партиции за најавување.[18]

Услуги и обрасци

уреди

Создавањето нови услуги и модели на услуги претставува најважен начин за проширување на Октопуси, а притоа без да се прават измени во изворниот код. Сепак, бидејќи обрасците се наведени како поедноставени редовни изрази, администраторите треба да имаат барем некои основни знаења за regex воопшто. Понатаму, силно се препорачува да се надоврзат на веќе постоечките услуги, но и исто така да се разбере значењето на основните полиња на објектите за порака, кои се ID на порака, шема, ниво на дневник, таксономија, табела и ранг.[19]

Обично волшебникот за евиденција, logs wizard, се користи за пребарување на системот за непрепознаени syslog пораки по уред за да генерира нови модели на услуги. За време на процесот, создавањето на обрасци треба да биде на начин што ќе му овозможи на Октопуси да ги разликува пораките засновани врз нивната сериозност и таксономија.[20]

Поврзано

уреди
  • Управување со логови и интелигенција
  • Splunk - Софтвер за анализа на дневникот на претпријатието
  • Споредба на системите за следење на мрежата
  • Софтвер за анализа на веб-дневник
  • Список на софтвер за веб-анализа

Наводи

уреди
  1. „Octopussy Detailed Changelog“. octopussy.pm, S. Thebert, et al. 2014-04-15. Архивирано од изворникот на 2016-03-07. Посетено на 2017-03-21.
  2. „Octopussy News - Octopussy v1.0.16 release!“. octopussy.pm, S. Thebert, et al. 2017-06-03. Посетено на 2017-11-03.
  3. 3,0 3,1 „Octopussy – Perl/XML Logs Analyzer, Alerter & Reporter“. ubuntugeek.com, ruchi. Посетено на 2017-03-23.
  4. „Octopussy 1.0.0 überwacht Logfiles“. Linux Magazin, Mathias Huber. Посетено на 2017-03-23.
  5. „Octopussy - Introduction“. gentoo-en.vfose.ru, Cyberwizzard, et al. Посетено на 2017-03-23.[мртва врска]
  6. „Octopussy FAQ - How can I handle Windows Hosts?“. octopussy.pm, S. Thebert, et al. Архивирано од изворникот на 2016-10-03. Посетено на 2017-03-23.
  7. „Step by Step procedure to install Octopussy (RSyslog Server) on Ubuntu“. vulpoint.be, Js Op de Beeck. Посетено на 2017-03-23.
  8. „The CPAN Search Site - search.cpan.org“. cpan.org. Посетено на 2017-03-21.
  9. „Octopussy“. gentoo-en.vfose.ru, Cyberwizzard, et al. Посетено на 2017-03-23.[мртва врска]
  10. „Configuring Devices to send syslog messages to Octopussy“. github.com, S. Thebert. Посетено на 2017-03-23.
  11. „The BSD syslog Protocol“. IETF, Network Working Group. Посетено на 2017-03-24.
  12. „Reliable Delivery for syslog“. IETF, D. New, M. T. Rose. Посетено на 2017-03-24.
  13. „Octopussy - Octopussy Octo-Dispatcher“. github.com, S. Thebert. Посетено на 2017-03-23.
  14. „Octopussy - Octopussy Octo-Parser“. github.com, S. Thebert. Посетено на 2017-03-23.
  15. „Octopussy - Octopussy Binaries“. github.com, S. Thebert. Посетено на 2017-03-23.
  16. „Octopussy - Octopussy-RRD“. github.com, S. Thebert. Посетено на 2017-03-23.
  17. „Octopussy Plugin Howto“. octopussy.pm, S. Thebert. Посетено на 2017-03-24.
  18. „Nagios Exchange - Nagios Plugin that checks Octopussy (check_octopussy.pl)“. nagios.org/nagiosexchange. Посетено на 2017-03-24.
  19. „Octopussy FAQ - What is a Message in Octopussy?“. octopussy.pm, S. Thebert. Архивирано од изворникот на 2016-10-03. Посетено на 2017-03-24.
  20. „Octopussy Tutorial: New Service Creation“. octopussy.pm, S. Thebert. Архивирано од изворникот на 2016-02-11. Посетено на 2017-03-23.

Надворешни врски

уреди