Ny veiledning: Systemovervåking ved bruk av ELK-stakken

Publisert: 12.04.2016

NSM har i dag publisert en ny veiledning, "Systemovervåking ved bruk av ELK-stakken".

NSM har i dag publisert en ny veiledning, "Systemovervåking ved bruk av ELK-stakken". ELK-stakken er et utbredt systemovervåkingsverktøy som brukes av mange store aktører. ELK-stakken får sitt navn fra komponentene den består av: Elasticsearch, Logstash og Kibana. Denne veilederen ser på hvordan man kan bruke ELK-stakken til systemovervåkning av et IT-system.

Målgruppen for veiledningen (tilgjengelig for nedlasting her) er primært personell som designer og utvikler sensitive og graderte IT-system i offentlige organisasjoner som ikke er store nok til å ta i bruk noen av de kommersielle Enterprise-verktøyene for systemovervåking fra f eks SPLUNK, Microsoft, IBM, HP, Nagios, ol.

Klikk på bildet for å laste ned veilederen.

Fordeler med systemovervåking

Det kan gi stor verdi for en virksomhet å etablere systemovervåkning av virksomhetens IT-system. Verdien øker i takt med systemets størrelse og aktivitetsnivå. IT-avdelingen til virksomheten kan bruke innsamlede loggdata for å danne seg et bilde av tilstanden til IT-systemet. Et systemovervåkingsverktøy som i nær sanntid samler inn, sammenstiller og analyserer loggdata gjør IT-avdelingen i stand til å:

  • Raskt detektere uønsket aktivitet, ytelsesproblemer og feil
  • Holde oversikt over endringer, for eksempel ny maskin- og programvare
  • Kartlegge faktisk aktivitet/belastning og behov for endring av systemet
  • Samle inn og arkivere logger, for eksempel til bruk ifm feilsøking og feilretting

Utilstrekkelig systemovervåking av et IT-system kan få forretningskritiske konsekvenser dersom problemer ikke raskt oppdages og nødvendige mottiltak blir iverksatt i tide.

Fordeler ved bruk av ELK-stakken

ELK-stakken:

  • Støtter populære loggformater, for eksempel syslog
  • Støtter et bredt og voksende utvalg av loggkilder
  • Normaliserer loggdata fra ulike kilder til et standardisert JSON-format
  • Lagrer de normaliserte loggdataene i en indeksert og søkbar noSQL-database
  • Produserer grafiske rapporter som kan brukes til trendanalyse
  • Er gratis tilgjengelig under Apache License 2.0

ELK-stakken har en egen tilleggsmodul for sikkerhet (SHIELD)som tilbyr viktig sikkerhetsfunksjonalitet. Det anbefales at man bruker sikkerhetskomponenten SHIELD. Utfyllende forklaringer og detaljer finnes i selve veiledningen, men i korte trekk bør SHIELD brukes til:

  • Bruk SHIELD sin rollebaserte tilgangskontroll
  • Koble SHIELD mot eksisterende LDAP eller AD brukerdatabaser i systemet
  • Bruk sertifikater i SHIELD for å etablere sikker ELK-kommunikasjon
  • Bruk HTTPS i SHIELD for sikker kommunikasjon mellom ELK-brukeren og Kibana
  • Bruk SHIELD for å registrere innloggingshendelser på Kibana
  • Bruk SHIELD for å hviteliste enheter som skal kunne sende loggdata til Logstash

SHIELD utvikles og vedlikeholdes av Elastic og tilbyr grunnleggende sikkerhetsfunksjonalitet.

ELK-stakken kan lastes ned gratis her: https://www.elastic.co/downloads

NSM tar gjerne imot kommentarer og innspill på veiledningen. Disse kan sendes til si@nsm.stat.no.

comments powered by Disqus