Болтушкин Л.С., группа 712-2, лабораторная 7

Министерство науки и высшего образования Российской Федерации

Федеральное государственное автономное образовательное учреждение высшего образования

ТОМСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ СИСТЕМ УПРАВЛЕНИЯ И РАДИОЭЛЕКТРОНИКИ (ТУСУР)

Кафедра комплексной информационной безопасности электронно-вычислительных систем (КИБЭВС)

МОНИТОРИНГ И УПРАВЛЕНИЕ ЛОГАМИ В СИСТЕМАХ ВИЗУАЛИЗАЦИИ И АНАЛИЗЫ ДАННЫХ

Отчет по лабораторной работе №7

по дисциплине «Мониторинг безопасности автоматизированных и телекоммуникационных систем»

Выполнил:

Студент гр. 712-2

_______ Л.С. Болтушкин

_______ 2026

Руководитель

Преподаватель кафедры КИБЭВС

_______ А.В. Ли

_______ 2026

Введение

Целью данной лабораторной работы является приобретение навыков настройки и использования инструментов мониторинга, анализа логов и управления жизненным циклом данных, включая конфигурацию модулей, визуализацию метрик и работу с лог-файлами.

1 ХОД РАБОТЫ

1 Настройка Filebeat

Для выполнения настройки Filebeat для подключения к Logstash необходимо изменить образец файла конфигурации, входящий в комплектацию Filebeat (рисунок 1.1).

Рисунок 1.1 – Изменение образца файла конфигурации

Функции Filebeat нужно расширить с помощью модуля Filebeat. «system», который собирает и проверяет данные журналов, созданных службой регистрации систем в распространенных дистрибутивах Linux: sudo filebeat modules enable system (рисунок 1.2).

Рисунок 1.2 – Расширение функций

После активации выпадет список включенных и отключенных модулей, при использовании команды, представленная на рисунке 1.3.

Рисунок 1.3 – Список модулей

Затем нужно настроить конвейеры обработки Filebeat, выполняющие синтаксический анализ данных журнала перед их отправкой через Logstash в Elasticsearch. Чтобы загрузить конвейер обработки для системного модуля, надо ввести следующую команду: sudo filebeat setup --pipelines --modules system (рисунок 1.4).

Рисунок 1.4 – Загрузка конвейера обработки

Далее выполнена загрузка в Elasticsearch шаблон индекса, он применяется автоматически при создании нового индекса (рисунок 1.5).

Рисунок 1.5 – Загрузка шаблона

Для загрузки информационных панелей при включенном Logstash необходимо отключить вывод Logstash и активировать вывод Elasticsearch. После проделанных действий запущен и активирован Filebeat (рисунок 1.6).

Рисунок 1.6 – Выполнение настройки и запуск с активацией Filebeat

В браузере необходимо открыть FQDN или публичный IP-адрес сервера с комплексом Elastic. Если сессия была прервана, нужно повторно ввести учетные данные. После входа в систему видна домашняя страница Kibana (рисунок 1.7).

Рисунок 1.7 – Домашняя страница

2 Просмотр логов в Kibana

После запуска Filebeat логи обращения к Kibana поступают в Logstash, затем в Elasticsearch. Чтобы просмотреть эти логи, в Kibana необходимо настроить templates.

Для настройки необходимо нажать на кнопку «Меню», а далее значок шестеренки вкладка «Management» - «Stack Management» (рисунок 2.1).

Рисунок 2.1 – Вкладка «Management»

Следующим шагом найден и выбран Create Index Pattern (рисунок 2.2).

Рисунок 2.2 – Создание индекс паттерна

Для того, чтобы удостовериться в корректной настройке необходимо перейти во вкладку «Analytics» и выбрать «Discover». Далее в этом разделе можно просматривать логи с Windows серверов (рисунок 2.3).

Рисунок 2.3 – Раздел просмотра логов

Для настройки централизованного сервера сбора логов с Windows серверов был установлен сборщик системных логов winlogbeat.

Далее потребуется исправить конфигурационный файл winlogbeat.yml (рисунок 2.4), это нужно для настройки хранения логов. Стоит обратить внимание на tags: ["winsrv"], этим тэгом помечаются все отправляемые сообщения, чтобы потом их обработать в Logstash и отправить в Elasticsearch с отдельным индексом.

Рисунок 2.4 – Исправление конфигурационного файла (часть 1)

Для того, чтобы логи журналов Windows пошли в Elasticsearch не вместе с nginx логами был настроен для них отдельный индекс в Logstash в разделе «output». На сервере с Logstash нужно исправить конфиг output.conf (рисунок 2.5-2.6).

Рисунок 2.5 – Исправление конфигурационного файла (часть 2)

Рисунок 2.6 – Исправление конфигурационного файла (часть 3)

После требуется перезапустить Logstash и перейти на Windows сервер, запустив службу Elastic Winlogbeat (рисунок 2.7).

Рисунок 2.7 – Запуск службы «Elastic Winlogbeat 9.3.0»

3 Создание политики жизненного цикла индекса

Снова необходимо перейти в меню и нажать на вкладку «Management», в разделе «Data» выбрать «Index Lifecycle Polices». После откроется окно, где требуется нажать кнопку «Create policy» для создания политики, заданные параметры представлены на рисунках 3.1 и 3.2.

Рисунок 3.1 – Выставление параметров

Рисунок 3.2 – Включение Cold phase

Далее нужно назначить новую политику хранения данных к индексам, для этого необходимо выбрать нужный индекс и в столбце «Actions» нажать на кнопку плюс. В качестве шаблона необходимо указать «winlogbeat», все остальные параметры можно оставить дефолтными (рисунок 3.3).

Рисунок 3.3 – Добавление шаблона

4 Настройка визуализации Kibana

Dashboard в Kibana состоит из визуализаций. Визуализация — это разновидность графика, построенного по определенным запросам из Elasticsearch. Для того, чтобы создать dashboard необходимо перейти во вкладку «Analytics» и перейти по вкладке «Dashboard», далее в левом верхнем углу нужно нажать на кнопку «Создать визуализацию» (рисунок 4.1).

Рисунок 4.1 – Добавление визуализации

Рисунок 4.2 – Созданный дашборд

5 Интеграция с Heartbeat

Heartbeat – это полезный инструмент для мониторинга сети. Для начала необходимо установить программу, для этого в терминале требуется прописать команду: apt install heartbeat-elastic (рисунок 5.1).

Рисунок 5.1 – Установка Heartbeat

Далее необходимо отредактировать конфигурационный файл: sudo nano /etc/heartbeat/heartbeat.yml, где необходимо прописать имена и ip-адреса веб-серверов, которые подлежат мониторингу. выполняется мониторинг (рисунок 5.2).

Рисунок 5.2 – Редактирование полей

После запущена служба heartbeat-elastic и добавлена в автозапуск (рисунок 5.3).

Рисунок 5.3 – Запуск службы и добавление в автозапуск

Затем был совершен переход в директорию и установлен индекс heartbeat (рисунок 5.4).

Рисунок 5.4 – Установка индекса

Во вкладке «Index Patterns» создан index pattern. Поле «Имя» заполнено названием программы «heartbeat», в поле Timestamp выбран @timestamp (рисунок 5.5).

Рисунок 5.5 – Создание индекс паттерна

После чего во вкладке «Monitors» возможен мониторинг доступности веб серверов, что представлено на рисунке 5.6.

Рисунок 5.6 – Вкладка «Monitors»

Заключение

В ходе выполнения данной лабораторной работы были приобретены навыки настройки и использования инструментов мониторинга, анализа логов и управления жизненным циклом данных, включая конфигурацию модулей, визуализацию метрик и работу с лог-файлами.

Томск 2026