I. TỔNG QUAN VÀ CHUẨN BỊ MÔI TRƯỜNG
1. Mục tiêu bài lab
Thiết lập hệ thống giám sát an ninh tập trung nhằm phát hiện sớm các hành vi xâm nhập trái phép (Brute-force) và các bất thường về lưu lượng mạng. Hệ thống sử dụng bộ công cụ ELK Stack để thu thập, phân tích và trực quan hóa log hệ thống từ máy ảo Ubuntu.
2. Thông số kỹ thuật
- Nền tảng ảo hóa: VMware Workstation.
- Hệ điều hành: Ubuntu 20.04 LTS.
- Phiên bản phần mềm: Elasticsearch 7.17.21, Kibana 7.17.21, Filebeat 7.17.21.
3. Cập nhật hệ thống
Trước khi cài đặt, tiến hành đồng bộ hóa kho lưu trữ và cập nhật các gói tin hệ thống:Bash
sudo apt update && sudo apt upgrade -y
II. TRIỂN KHAI HỆ THỐNG GIÁM SÁT ELK
1. Cài đặt và cấu hình Elasticsearch
Đóng vai trò là phần quan trọng của hệ thống, nơi lưu trữ và xử lý truy vấn dữ liệu log.
- Cài đặt: Thêm GPG Key và Repository chính thức từ Elastic, sau đó cài đặt phiên bản 7.17.21 để đảm bảo tính ổn định.
- Cấu hình (/etc/elasticsearch/elasticsearch.yml):
- network.host: 0.0.0.0: Cho phép lắng nghe kết nối từ mọi giao diện mạng.
- discovery.type: single-node: Chạy chế độ đơn node để tối ưu tài nguyên máy ảo.
- Kích hoạt: Sử dụng systemctl để chạy dịch vụ và kiểm tra trạng thái bằng lệnh curl localhost:9200.
Hình : Kiểm tra trạng thái hoạt động của Elasticsearch sau khi triển khai thành công trên Ubuntu 20.04.
2. Triển khai giao diện Kibana (Docker)
Để tối ưu hóa việc quản lý và tránh xung đột port hệ thống, Kibana được triển khai trong môi trường Docker.
Hình : Container Kibana 7.17.21 hoạt động thành công trên Docker với cơ chế ánh xạ cổng 5602→5601.
Lệnh thực thi:
sudo docker run -d --name kibana --restart always -p 5602:5601 \-e "ELASTICSEARCH_HOSTS=http://[IP_ADDRESS]:9200" \
docker.elastic.co/kibana/kibana:7.17.21
Kết quả: Truy cập quản trị qua trình duyệt tại địa chỉ http://[IP_ADDRESS]:5602.
3. Thu thập dữ liệu với Filebeat
Filebeat đóng vai trò đại lý thu thập log (Agent) trực tiếp tại máy chủ:- Module: Kích hoạt module system để tự động thu thập log từ /var/log/auth.log và /var/log/syslog.
- Kết nối: Cấu hình Output trỏ thẳng về node Elasticsearch đã thiết lập ở bước 1.
1. Thiết lập Visualizations chuyên sâu
Sau khi tạo Data View (index pattern: filebeat-*), các thành phần sau được thiết lập trên Dashboard:
- Total Events (Line Chart): Theo dõi biến động tổng số sự kiện theo thời gian để nhận diện các thời điểm log tăng đột biến.
- Top Source IP (Data Table): Liệt kê 10 địa chỉ IP gửi nhiều request nhất, giúp khoanh vùng các nguồn truy cập nghi vấn.
- Security Alert (Line Chart): Lọc riêng các bản ghi có chứa từ khóa "Failed password" để theo dõi tần suất tấn công dò mật khẩu.
- Log Sources (Pie Chart): Phân tích tỷ trọng log từ các dịch vụ khác nhau để đánh giá mức độ hoạt động của hệ thống.
2. Quản trị và Xuất dữ liệu
Toàn bộ Dashboard được đóng gói dưới dạng file .ndjson thông qua tính năng Saved Objects trong Stack Management. Việc này cho phép sao lưu, phục hồi hoặc triển khai nhanh trên các hệ thống giám sát khác mà không cần cấu hình lại các biểu đồ thủ công.3. Kết luận
Hệ thống triển khai thành công giúp quản trị viên có cái nhìn toàn diện về tình trạng an ninh của máy chủ ảo hóa VMware.- Ưu điểm: Khả năng truy vấn cực nhanh, trực quan hóa sinh động và dễ dàng mở rộng.
- Hướng phát triển: Tích hợp thêm các bộ lọc Logstash để xử lý dữ liệu phức tạp hơn và thiết lập cảnh báo tự động qua Telegram/Email khi có tấn công thực tế xảy ra.