بینش کار از راه دور: ببین! من اکنون CTO خانواده ام هستم

وقتی آخرین بار به وبلاگ نویسم ، من این قطعه سبک و سرگرم کننده را در مورد فعالیت یخچال و فریزر خانواده ام Splunking نوشتم تا بتوانم در فروشگاه های مواد غذایی بمانم و از دستورالعمل های دوردست اجتماعی استفاده کنم. از آن زمان ، من چند هفته گذشته را در زیرزمین خود گذرانده ام ، از راه دور مانند بسیاری از جهان کار کردم و کمی دیوانه ام . زمان به وبلاگ برای تغییر سرعت!
          

همکاران من در Splunk در تلاش بوده اند برخی از راه حل های Remote Work Insights را در طی این موارد بی سابقه ¹ بار آزاد کنند. یكی از این راه حلها ، برنامه بسیار زیبا "Remote Work Insights Dashboards Executive" است كه جمع آوری روند استفاده و در دسترس بودن برای سیستمهای مهم کاری را كه كارمندان از راه دور استفاده می كنند ، جمع می كند. این برنامه اکنون چند هفته در دسترس است ، اما ما اخیراً آن را در Splunkbase ارسال کردیم. این یک کار خوب برای نمایش معیارهای سطح اجرایی درباره فعالیتهای Okta ، Zoom و Palo Alto GlobalProtect VPN در یک سری داشبورد های مبهم و تاری است.
          

حدود شش ثانیه بعد از اینکه برنامه را در دسترس قرار دادیم ، شروع به سوالات داخلی و خارجی نمودیم.
          

• "چرا این منابع داده؟"
              
• "چگونه برای دیگر منابع داده مشابه ، کار نمی کند؟"
              
• "آیا می توانید به من كمك كنید تا آن را با منبع داده های Auth / Conferencing / VPN كار كند؟"
              
• "چرا تیم شما همچنان اشعار آرکانه را به متن های آهنگ جایگزین 80 در وبلاگ های شما وارد می کند؟"

همه سؤالات خوب! دو مورد اول به این دلیل است که این منابع داده ای هستند که ما در داخل ، در Splunk ، مانیتور می کنیم که از آنها برای انجام کار از راه دور استفاده می کنیم. بنابراین ما این برنامه را به عنوان نمونه ای ارائه دادیم که می تواند بطور رایگان اصلاح و استفاده شود.
          

و سؤال سه؟ این واقعاً جالب است. برنامه داشبورد با سایر داده های VPN و تأیید اعتبار ، به آسانی کار خواهد کرد ، مادامی که آن منابع اطلاعاتی را به مدل اطلاعات مشترک Splunk تبدیل کنند. بنابراین بقیه این پست به شما نشان می دهد که چگونه من برخی از داده های VPN و تأیید هویت را از محیط آزمایشگاه خود گرفتم و آن را به گونه ای نقشه کشیدم که پانل های موجود در برنامه Dashboard روشن شوند. TL؛ DR: اگر منابع داده های شما مدل های داده تأیید هویت و Network_Sessions را جمع می کنند ، شما در راه موفقیت خود هستید. اگر اینگونه نباشد – "موفقیت" در واقع بخشی از چیزی است که شما باید روی آن تمرکز کنید. من توضیح خواهم داد (اسناد واقعی Splunk در مورد چگونگی نقشه برداری زمینه ها به مدل های داده در Splunk CIM اینجا است.)
          

وقتی که من برای اولین بار برنامه Dashboards را در آزمایشگاه منزل خود نصب کردم ، بسیار ناراحتم. مثل این بود:
          

Fail. این یک فریاد دور از داشبورد های زیبا ، کاملاً پرجمعیت از وبلاگ CTO تیم تولی ما است. او باید به اسم خود تحریک بیشتری داشته باشد و از من بهتر به نظر برسد ، زیرا داشبورد او کار می کند. OK -let آن را برطرف کنید! من می خواهم این داشبورد روشن شود و هرگز بیرون نرود. اکنون ، برای اینکه این وبلاگ قابل کنترل باشد ، فقط روی دو صفحه در سمت چپ متمرکز می شوم: Session Active VPN و Number of VPN Logins .
          

اولین کاری که باید انجام دهم این بود که موجودی منابع داده را در محیط خود امتحان کنم و فهمیدم از کدام یک برای روشن کردن داشبورد استفاده می کنم. اگر می خواستم پنل های VPN کاری انجام دهند ، به اطلاعات داده VPN نیاز دارم! خوب ، به همین ترتیب اتفاق می افتد که من یکی از توزیع های روتر مصرف کننده منبع باز به نام FreshTomato (DD-WRT) را برای ارائه اتصال به اینترنت به خانواده ام اجرا می کنم. FreshTomato به عنوان یک ویژگی OpenVPN را پیاده سازی می کند – این امکان دسترسی من به منابع شبکه خانگی را از هر نوع تماس تلفنی که در سال 19459 رخ می دهد فراهم می کند (گریه می کند با یادآوری سفرهای تجاری پر زرق و برق در ماه های سال).
          

اکنون ، سال ها سال ، من این Splunkbase TA (افزودنی فنی) را نصب كردم تا اطلاعات را از روتر مصرف كننده خود ، از طریق syslog ، به Splunk سوار كنم. و این کار معقول "خارج از صندوق" را با آن کار انجام می دهد ، استخراج میدان و مقداری انطباق CIM را نیز فراهم می کند ² . با این حال ، حتی اگر من می دانستم که داده VPN ورود به Splunk (در زیر برخی از سفرهای من ، با توجه به اتصالات VPN) وجود دارد چرا چرا داشبورد اجرایی RWI من روشن نیست؟
          

برای شروع ، به جستجوهای زیر آن تابلوهای RWI نگاهی بیندازید. در اینجا یکی از شماره های "VPN Logins" آمده است:
          

من بخش های مهم را در بالا برجسته کردم. این جستجو به مدل داده تأیید اعتبار می پردازد ، دقیقاً برای رویدادهایی که داده های VPN شما در آن نمایه می شوند. سپس تعداد عمل = موفقیت یا عمل = رویدادهای شکست را که در آنجا پیدا می کند ، شمارش می کند و نقشه هایی را در یک جدول زمانی نشان می دهد. بنابراین این به معنی بدست آوردن داده ها در صفحه داشبورد است:
          

• مدل داده احراز هویت ما باید جمع شود.
              
• باید شامل زمینه "عمل" باشد.
              
• قسمت "عمل" باید دارای یک یا چند نتیجه با ارزش "عدم موفقیت" یا "موفقیت" باشد.

این خبر خوب است! کلیه TA های Splunk که به درستی از مدل داده تأیید هویت پشتیبانی می کنند ، زمینه "عمل" را به درستی جمع کرده و بنابراین ، این صفحه در داشبورد RWI فقط کار خواهد کرد . به عبارت دیگر ، شاید نیازی به نگرانی در مورد بقیه این وبلاگ نباشید و می توانید در مورد Tiger King جلب توجه کنید! اما اگر اینطور نشود ، کارهایی که انجام می دهید در اینجا آمده است …
          

ابتدا ، ببینید که آیا مدل داده تأیید هویت شما داده ای دارد یا خیر ، آیا دارای مقادیر مناسب در زمینه ها است. بنابراین ، در UI وب Splunk به تنظیمات-> Models Data بروید ، و امیدوارم چیزی شبیه به این ببینید:
          

عالی. من می دانم که من یک مدل داده احراز هویت دارم. این برنامه از برنامه به نام Splunk SA_CIM تهیه شده است. به نظر می رسد که داده های موجود در آن است. اگر چیزی شبیه به این ندارید ، حتما باید یک) برنامه CIM را نصب کنید ، ب) آن را به فهرستهای حاوی داده های تأیید اعتبار اشاره کنید ، ج) اطمینان حاصل کنید که مدل داده تأیید هویت به داده هایی که می خواهید وارد کنید ، می شود. مدل (در این حالت ، داده های برچسب گذاری شده به عنوان "احراز هویت" که در زیر مشاهده می شود ³ ):
          

خوب ، بنابراین اکنون می دانم که تمام داده های دارای برچسب «تأیید اعتبار» باید در این مدل قرار بگیرند ، مادامی که هیچ یک از ارزش های عمل "موفقیت" نداشته باشد و یک ارزش کاربر با استفاده از آن پایان یابد. علامت دلار. اما این همچنین بدان معنی است که "احراز هویت" باید زمینه "کاربر" را نیز در آن داشته باشد!
          

بعد ، جستجو را مانند این انجام دهید تا ببینید داده های خام در زیر مدل داده تأیید صحت ظاهراً به چه صورت است:
          

با استفاده از این دستور ، می توان از دستور داده مناسب استفاده کرد. و در ابتدا عالی به نظر می رسد! من داده دارم و در آن قسمت های Authentication.action و Authentication.user وجود دارد. عالی ، درست است؟ اما نزدیکتر نگاه کنید قسمت "عمل" حاوی مقدار "ناشناخته" است و زمینه کاربر نیز وجود دارد. از بالا بخاطر بسپار: این زمینه عمل باید حاوی "موفقیت" یا "شکست" باشد. همچنین ، احتمالاً می خواهیم "کاربر" به درستی جمع شود ، زیرا نام کاربری به وضوح در داده های خام ما وجود دارد. بیشتر در زیر سوراخ خرگوش که می رویم!
          

پرونده props.conf که در TA-Tomato موجود است ، چندین خط برای انجام استخراج درست در برابر گوجه فرنگی دارد: حوادث openvpn. با این حال ، اگر آن را باز کنید ، به طور پیش فرض نقشه برداری "موفقیت" یا "عدم موفقیت" در قسمت عمل نیست (فقط "پایان" و "شروع" به عنوان مقادیر باز می گردد) ، و همچنین تنظیم نمی شود. یک قسمت کاربر ، اصلاً (به خط قرمز رنگ مراجعه کنید):
پس از ویرایش این پرونده props.conf (به یاد داشته باشید که همیشه آن را به محلی ، از پیش فرض منتقل کنید! props.conf من برای گوجه فرنگی: بخش openvpn به این شکل است:
          

خط اصلاح شده در رنگ نارنجی دو مقدار زمینه دیگر را به قسمت "اقدام" من اضافه می کند – "موفقیت" اگر این رویداد شامل احراز هویت با موفقیت باشد و "شکست" اگر این رویداد شامل AUTH_FAILED . چهار خط سبز اضافه شد ، و مقدار مناسبی را برای قسمت "کاربر" (یا ناشناخته ، در صورت وقوع نبود) و "src_ip" و سپس در نهایت alias 'src_ip' به 'src فراهم می کنیم.'
          

آیا کار کرد؟ این چیزی است که قبل از تغییرات من از مدل داده تأیید اعتبار برمی‌گردد:
          

و بعد از ⁴ :
          

اما اثبات در پودینگ ، خواننده عزیز. در این مرحله در هنگام نوشتن این وبلاگ ، پسرم را به عنوان عذاب خوردن خیلی از ترشی های نیمه شب ، لپ تاپ خود را به دست گرفته و سوار بر دوچرخه و سر خود را به سمت کافی شاپ محلی. انگشت بینی خود را در دستورالعمل های پناهگاه در مکان ، او را در پیاده رو ، متصل به WiFi و VPN'd خود را به شبکه خانگی ما:
          

موفقیت!
          

اگر می خواهید برای کمک به منابع داده تولید خود ، برخی از کمکهای گاه به گاه را برای روشن کردن نسخه شخصی داشبورد اجرایی RWI ، با تیم حساب Splunk خود تماس بگیرید ، و همیشه می توانید مرا در james_brodsky بفرستید. کار از راه دور مبارک!
          

_{^{1: Two for two!
2: TA-pfsense یک نمونه دیگر برای نمونه های سازگار با CIM است زیرا فایروال OpenVPN را نیز پیاده سازی می کند.
3: برای رسیدن به این پرونده ، باید پرونده های eventtypes.conf و tags.conf خود را در TA دستکاری کنم ، و من گوجه فرنگی خاصی را نقشه برداری کردم: حوادث openvpn به برچسب احراز هویت. برای مثال مستند در مورد چگونگی انجام این کار ، مرحله 3 را در اینجا بررسی کنید
4: اگر مدل داده شتاب گرفت ، که باید باشد ، می خواهید پس از ساخت خلاصه ها را دوباره بسازید. این تغییر به سرعت بخشیدن به داده های قدیمی است.}}