Přeskočit obsah

Uživatelská příručka

TeskaLabs LogMan.io poskytuje uživatelské rozhraní navržené pro hladší interakci se softwarovými komponentami LogMan.io.

LogMan.io Discover overview

Úvod do uživatelského rozhraní LogMan.io

Discover

Objevovací obrazovka LogMan.io

Discover je domovská stránka služby LogMan.io.

Jednotlivé sekce můžete snadno procházet na panelu bočního menu:

Boční menu

  • Discover
  • Dashboardy
  • Export
  • Knihovna
  • Vyhledávání
  • Nástroje
  • Údržba
  • Autorizace

LogMan.io Panel menu

Horní panel aplikace LogMan.io se skládá z následujících částí:

LogMan.io Horní lišta

  • Motiv (tmavý nebo světlý režim)
  • Volba jazyka
  • Nájemci
  • Můj účet

Prompt

LogMan.io Prompt line

  • Syntaxe Lucene se používá pro specifikaci vyhledávání a filtrování požadovaných hodnot atributů.
  • Například: filtrování pro následující hodnoty: event.dataset "Microsoft-office-365" AND event.action: "UserLoggedIn".
  • Je možné vyfiltrovat hodnoty požadovaného časového okna v absolutních nebo relativních hodnotách.

Vizualizace množství a četnosti příchozích protokolů v čase

LogMan.io Incoming logs

Příchozí události v posledním časovém okně

LogMan.io Okno příchozích událostí

Přístrojové panely

LogMan.io Dashboards

  • Dashboardy slouží k vizualizaci dat. Podle obrázku výše si můžete vybrat z široké škály možností widgetů, včetně koláčových grafů, sloupcových grafů, tabulek a widgetů s jednotlivými hodnotami. Každý widget má v levém horním rohu možnost přepnutí na tabulku kliknutím.
  • Pomocí řádku Prompt můžete vyfiltrovat hodnoty, které vás zajímají, včetně časového okna.

Knihovna

Knihovna LogMan.io

Knihovna je místo, kde je uložen veškerý obsah dostupný v LogMan.io. Obvykle se dělí na následující části:

  • Korelátory
  • Dashboardy
  • Parsery
  • Schémata

Korelátory

  • Sada korelačních a detekčních pravidel umožňující vyhledat vzor v sérii událostí, které by mohly signalizovat potenciální zranitelnost.
  • Mohou to být případy, jako je několikanásobné neúspěšné přihlášení v krátkém časovém období, neobvyklá ip adresa apod.
  • Korelátory jsou zapsány ve formátu .yaml.

Parsery

  • Parsery jsou komponenty odpovědné za primární analýzu a rozklad protokolu nebo události bezprostředně po jejich příchodu do LogMan.io.

  • Logy jsou analyzovány na základní analyzovatelné atributy, jako je @timestamp, ip.address, user.name atd.

Nástroje

LogMan.io Tools

LogMan.io používá následující open-source nástroje:

  • Jupyter: skupina softwarových produktů umožňující programování prostřednictvím webových rozhraní.

  • Zookeper: open-source server pro vysoce spolehlivou distribuovanou koordinaci cloudových aplikací.

  • Kafka : open-source platforma pro distribuované streamování událostí, která se používá pro vysoce výkonné datové pipeline a streamingovou analýzu.

  • Grafana: multiplatformní open-source analytická a interaktivní vizualizační webová aplikace. Po připojení k podporovaným zdrojům dat poskytuje grafy, diagramy a upozornění pro web.

  • Kibana: software pro vizualizaci dat na panelu pro Elasticsearch, který je k dispozici se zdrojovým kódem.