Project information
Zavedení nástrojů pro zpracování logů provozních systémů MU s využitím datového jezera v infrastruktuře CESNET
- Project Identification
- 720R1/2023
- Project Period
- 1/2024 - 12/2024
- Investor / Pogramme / Project type
-
CESNET
- Development Fund of CESNET
- MU Faculty or unit
-
Institute of Computer Science
- Ing. Jindřich Zechmeister
- Bc. Andrea Chimenti
- Ing. Filip Janovič, PhD., MBA
- Mgr. Martin Kotlík
- Ing. František Ostřížek
- Radim Šafář
- RNDr. Daniel Tovarňák, Ph.D.
V IT prostředí Masarykovy univerzity vzniká velké množství logů Jedná se zejména o logy z uživatelských PC (OS MS Windows), elektronické pošty, webových serverů, síťových služeb (DNS, DHCP) a dalších zdrojů. V čase narůstá nejen objem logů, ale zvyšuje se také potřeba jejich co nejrychlejšího vyhodnocení a co nejrychlejší reakce na události. V nedávno dokončeném projektu FR CESNET (č. 690) jsme vytvořili datové jezero, které slouží k ukládání logů z těchto služeb. Výstupem projektu je kompletní řešení sběru a ukládání logů, ale také analytický nástroj Elasticsearch. V rámci projektu jsme do sběru začlenili tři uživatelské případy a rádi bychom pokračovali v realizaci dalších případů. V našem hledáčku jsou zejména síťové služby DNS, VPN, ale též Active Directory a služby jako Git. Hlavním současným slepým místem, které musíme odstranit, je Microsoft 365. Umožníme zpracování logů z M365 pomocí analytické vrstvy. Kromě samotného ukládání logů, které centralizujeme pomocí datového jezera, je poptávka po nástrojích na jejich analýzu a vyhodnocení. Ty pomohou práci s daty zefektivnit a snížit reakční dobu na události. Analytické nástroje budou jako zdroj dat využívat naše datové jezero MU umístěné v infrastruktuře CESNET a centralizující sběr logů ÚVT. Výstupem předchozího projektu je funkční prototyp Elasticsearch clusteru, který však vyžaduje ještě dosti práce k dosažení produkční kvality . Je potřeba dodělat autentizaci a autorizaci uživatelů, monitoring a rozšířit kapacitu pro uložení dat. To jsou hlavní cíle pro navazující projekt. Na základě zkušeností a poptávky jsme identifikovali potřebu dodatečného jednoduššího nástroje. Centrální poskytování nástrojů formou služby zajistí nejen jejich vysokou dostupnost a efektivně ušetří zdroje, ale umožní též sdílení know-how mezi našimi týmy a ostatními členy sdružení, pro které tak bude aplikace našich postupů usnadněna. Kromě technické dokumentace pro nasazení nástrojů a poskytování služby se zaměříme i na tzv. best practice pro jejich základní využití, které zdokumentujeme, aby mohlo sloužit kromě nás i ostatním členům sdružení. Tyto doporučení budou zaměřeny nejen na efektivitu práce s provozními logy, ale zejména na bezpečnost a bude jim předcházet konzultace s kyberbezpečnostními odborníky MU.