SIEM/Log Management [Phần 2] Triển khai Dashboard Node trong hệ thống SIEM trên service, có cluster (Opensearch + Wazuh Manager + Vector)

V

Võ Đức Chính

Intern

Mô hình triển khai:

1764050324032.png

Chú thích: Các node Management + Agent Management; Log pipeline + Load Blancing sẽ được gộp lại để giảm chi phí triển khai.

VMIP
Data0110.30.194.181
Data0210.30.194.182
Data0310.30.194.183
Dashboard10.30.194.184
Manager0110.30.194.185
Manager0210.30.194.186
Pipeline0110.30.194.187
Pipeline0210.30.194.188

Vai trò của Dashboard Node trong hệ thống:​

1. Trực quan hóa dữ liệu (Visualization & Reporting)​

Đây là vai trò dễ thấy nhất. Dữ liệu trong OpenSearch là dạng text thô (JSON), con người rất khó đọc hiểu. Dashboard Node sẽ:
  • Biến đổi dữ liệu: Chuyển đổi hàng triệu dòng log thô thành các biểu đồ cột, biểu đồ tròn, bản đồ nhiệt hoặc bảng số liệu.
  • Wazuh Context: Khi nhìn thấy biểu đồ "Top 5 Agents with most alerts" hay bản đồ tấn công mạng, đó là nhờ vào Dashboard Node.

2. Query Translator​

Dashboard Node không chứa dữ liệu, nó chỉ gửi request đi.
  • Khi tìm kiếm: rule.id: 5710 hoặc chọn khoảng thời gian "Last 24 hours".
  • Dashboard Node sẽ dịch thao tác thành ngôn ngữ truy vấn DSL (Domain Specific Language).
  • Sau đó, nó gửi truy vấn này xuống Data Node qua API.
  • Khi Data Node trả kết quả về, Dashboard Node nhận lấy và hiển thị lên màn hình.

3. Nền tảng quản trị (Management UI)​

Thay vì phải dùng dòng lệnh (curl) để quản lý Cluster, Dashboard cung cấp giao diện đồ họa (GUI) để:
  • Quản lý bảo mật: Tạo User, gán Role, phân quyền (Wazuh admin, Read-only user...).
  • Quản lý Index: Xóa index cũ, thiết lập vòng đời index (ISM), tạo Index Patterns.
  • Dev Tools: Cung cấp console để bạn test các câu lệnh API trực tiếp.

Chi tiết triển khai:​

Node này chỉ hiển thị Dashboard lấy dữ liệu từ cluster Opensearch.
Cập nhật danh sách gói phần mềm hệ thống và cài package cần thiết:
sudo apt-get update && sudo apt-get -y install lsb-release ca-certificates curl gnupg2
Import public GPG key:
curl -o- https://artifacts.opensearch.org/publickeys/opensearch-release.pgp | sudo gpg --dearmor --batch --yes -o /etc/apt/keyrings/opensearch-release-keyring
Sau khi đã thêm khóa GPG để xác thực, thêm đường dẫn repository của OpenSearch vào danh sách nguồn của hệ thống (apt). Điều này cho phép công cụ quản lý gói (apt) biết nơi để tìm và tải xuống các gói cài đặt OpenSearch:
echo "deb [signed-by=/etc/apt/keyrings/opensearch-release-keyring] https://artifacts.opensearch.org/releases/bundle/opensearch-dashboards/3.x/apt stable main" | sudo tee /etc/apt/sources.list.d/opensearch-dashboards-3.x.list
Cập nhật để tải thông tin gói từ kho lưu trữ của Opensearch:
sudo apt-get update
Tải Opensearch Dashboard:
sudo apt-get install opensearch-dashboards=3.3.0
Chỉnh config file /etc/opensearch-dashboards/opensearch_dashboards.yml:
server.port: 5601
server.host: "0.0.0.0"
server.name: "poptech"
opensearch.hosts: ["https://10.30.194.181:9200", "https://10.30.194.182:9200", "https://10.30.194.183:9200"]
opensearch.username: "admin"
opensearch.password: "<custom-admin-password>"
opensearch.ssl.verificationMode: none
opensearch.requestHeadersWhitelist: [authorization, securitytenant]
opensearch_security.multitenancy.enabled: true
opensearch_security.multitenancy.tenants.preferred: [Private, Global]
opensearch_security.readonly_mode.roles: [kibana_read_only]
opensearch_security.cookie.secure: false
Chạy service Opensearch dashboard:
sudo systemctl enable opensearch-dashboards
sudo systemctl start opensearch-dashboards
Kiểm tra Opensearch dashboard hoặc động chưa:
1764050832018.png

Giao diện của Opensearch Dashboards:
1764050832026.png
 

Đính kèm

  • 1764050768067.png
    1764050768067.png
    259.1 KB · Lượt xem: 0
Bài viết liên quan
Triển khai hệ thống SIEM theo mô hình All-in-One ( Opensearch + Vector + Wazuh) bởi Nguyễn Kim Khánh,
[Phần 4] Triển khai Pipeline Node trong hệ thống SIEM trên service, có cluster (Opensearch + Wazuh Manager + Vector) bởi Võ Đức Chính,
[Phần 3] Triển khai Manager Node trong hệ thống SIEM trên service, có cluster (Opensearch + Wazuh Manager + Vector) bởi Võ Đức Chính,
[Phần 1] Triển khai Data Node trong hệ thống SIEM trên service, có cluster (Opensearch + Wazuh Manager + Vector) bởi Võ Đức Chính,
Triển khai hệ thống SIEM trên service, có cluster (Opensearch + Wazuh Manager + Vector) bởi Võ Đức Chính,
Ngôn ngữ truy vấn dashboard DQL bởi Lăng Thị Cẩm Nhung,
Được quan tâm
Triển khai hệ thống SIEM trên service, có cluster (Opensearch + Wazuh Manager + Vector) bởi Võ Đức Chính,
[Phần 4] Triển khai Pipeline Node trong hệ thống SIEM trên service, có cluster (Opensearch + Wazuh Manager + Vector) bởi Võ Đức Chính,
[Phần 1] Triển khai Data Node trong hệ thống SIEM trên service, có cluster (Opensearch + Wazuh Manager + Vector) bởi Võ Đức Chính,
Triển khai hệ thống SIEM theo mô hình All-in-One ( Opensearch + Vector + Wazuh) bởi Nguyễn Kim Khánh,
[Phần 3] Triển khai Manager Node trong hệ thống SIEM trên service, có cluster (Opensearch + Wazuh Manager + Vector) bởi Võ Đức Chính,
Ngôn ngữ truy vấn dashboard DQL bởi Lăng Thị Cẩm Nhung,
Bài viết mới
Triển khai hệ thống SIEM theo mô hình All-in-One ( Opensearch + Vector + Wazuh) bởi Nguyễn Kim Khánh,
[Phần 4] Triển khai Pipeline Node trong hệ thống SIEM trên service, có cluster (Opensearch + Wazuh Manager + Vector) bởi Võ Đức Chính,
[Phần 3] Triển khai Manager Node trong hệ thống SIEM trên service, có cluster (Opensearch + Wazuh Manager + Vector) bởi Võ Đức Chính,
[Phần 1] Triển khai Data Node trong hệ thống SIEM trên service, có cluster (Opensearch + Wazuh Manager + Vector) bởi Võ Đức Chính,
Triển khai hệ thống SIEM trên service, có cluster (Opensearch + Wazuh Manager + Vector) bởi Võ Đức Chính,
Ngôn ngữ truy vấn dashboard DQL bởi Lăng Thị Cẩm Nhung,
Bạn phải đăng nhập hoặc đăng ký để bình luận.
Back
Top