Graylog v5
Rocco Gagliardi
Übergang zu OpenSearch
Die Gründe für unsere Stack-Entwicklung
am 01. Februar 2024
Lesezeit: 14 Minuten
Keypoints
Unser Übergang zu OpenSearch
- ELK Stack für umfassende Analysen
- Graylog konzentriert sich auf die Protokollverwaltung
- OpenSearch für skalierbare Visualisierung und Mandantenfähigkeit
- OpenSearch zeichnet sich durch die Handhabung grosser, komplexer Datenumgebungen aus
- OpenSearch bietet fortschrittliche Datenanalysen und robuste, flexible Sicherheitsfunktionen
Wir begannen, das Protokoll der Raptor Firewall auf Solaris mit grep und regex zu analysieren. Als die Datenmengen mit den sich entwickelnden Systemen wuchsen, gingen wir von der Entwicklung kundenspezifischer Lösungen zur Anpassung von Open-Source-Systemen über. Wir haben einige Jahre den ELK Stack verwendet und sind dann auf Graylog umgestiegen, weil es trotz weniger fortgeschrittener Visualisierungsmöglichkeiten kostenlose Authentifizierungs-/Autorisierungsfunktionen bietet. Seit zwei Jahren, dank der Elastic vs AWS license story, die sich auch auf Graylog auswirkte, haben wir begonnen, uns mit OpenSearch zu beschäftigen. Dieser Artikel erklärt, warum wir intern zu OpenSearch gewechselt haben.
Die Stacks
Wie erwähnt, wir haben mit ELK begonnen. Der ELK Stack, bestehend aus Elasticsearch, Logstash und Kibana, ist eine vielseitige Open-Source-Suite, die für die Datenanalyse entwickelt wurde, mit einem besonderen Fokus auf umfassendes Log-Management und Analyse. ELK erleichtert sowohl lokale als auch grosse Cloud-Provider-Implementierungen und bietet eine vollständige End-to-End-Lösung, die von der Datenaufnahme bis zur Visualisierung reicht.
Graylog konzentrierte sich in erster Linie auf das Log-Management in Echtzeit, hat sich aus einer Phase unklarer Zielsetzungen entwickelt und bietet nun spezialisierte, lizenzierte Funktionen für gezielte Problemlösungen bei der Log-Verarbeitung und -Analyse, siehe Illuminate, Graylog Security, Graylog Operation und Graylog API Security. Die Eingabekomponenten, die wir anfangs verwendet haben, waren rsyslog, nach ein paar Jahren haben wir die Leistung mit der einfachen Konfiguration und der grossen Anzahl von Plugins von Logstash getauscht.
OpenSearch bietet umfangreiche Such- und Analysemöglichkeiten für verschiedene Datentypen. Es zeichnet sich durch seine hohe Skalierbarkeit und fortschrittliche Datenvisualisierung durch OpenSearch Dashboards aus und unterstützt Multi-Tenancy, ist aber derzeit auf AWS für seine Cloud-basierte Version beschränkt. Als Ingestion verwenden wir nach wie vor Logstash, aber wir evaluieren auch Vector.
Unterschiede zwischen ELK, Graylog und OpenSearch
Die Tabelle soll die wichtigsten Unterschiede zwischen den verschiedenen Protokollverwaltungsprodukten kurz und bündig aufzeigen. Laut Herstellerangaben kann jedes Produkt eine Reihe von Bereichen der Protokollverwaltung abdecken. Unsere Tabelle hebt jedoch besonders hervor, was unserer Meinung nach der Schwerpunkt jedes Produkts ist. So umfasst Graylog zwar auch Aspekte der Visualisierung, dies ist jedoch nicht seine stärkste Funktion, so dass wir die Hauptfunktion auf Protokollverwaltung und Analyse beschränken.
| Merkmal/Aspekt | ELK Stack | Graylog | OpenSearch | CIS-CSC-Kontext |
|---|---|---|---|---|
| Primäre Funktion | Integrierte Log-Analyse, Suche und Visualisierung | Log-Management und Analyse | Erweiterte Such- und Analysefunktionen, Abspaltung von Elasticsearch | Nützlich für CIS Control 6 (Wartung, Überwachung und Analyse von Audit-Logs) |
| Datenverarbeitung | Leistungsstarke Datenindizierung und -suche | Effiziente Log-Aggregation und -Verarbeitung | Leistungsstarke Datenindizierung, -suche und -analyse | Unterstützt CIS Control 6 für effiziente Log-Analyse und Anomalieerkennung |
| Skalierbarkeit | Hoch skalierbar, geeignet für grosse Datenmengen | Gute Skalierbarkeit für die Protokollverwaltung | Hoch skalierbar, ähnlich wie Elasticsearch | Passt zu CIS Control 3 (Continuous Vulnerability Management) durch Verwaltung grosser Datenumgebungen |
| Flexibilität | Hochflexibel, anpassbar mit verschiedenen Plugins | Fokussiert auf Log-Management, einige Integrationsmöglichkeiten | Hochflexibel mit breiten Integrationsmöglichkeiten | Unterstützt CIS Control 1 (Inventarisierung und Kontrolle von Hardware Assets) und Control 2 (Software Assets) |
| Visualisierung | Erweiterte Visualisierung mit Kibana | Integrierte Dashboards | Erweiterte Visualisierung mit OpenSearch Dashboards | Erleichtert die Überwachung und Analyse für verschiedene CIS-Kontrollen |
| Community & Support | Grosse Community, umfangreiche Dokumentation | Starke Community, gute Dokumentation | Wachsende Community, die die robuste Dokumentation von Elasticsearch übernommen hat. OpenSearch Dokumentation sollte verbessert werden | Wichtig für laufende Sicherheitsupdates und die Einhaltung von Best Practices |
| Lizenzierung | Open Source, mit kostenpflichtigen Funktionen in Elastic Stack | Open Source, mit kostenpflichtigen Funktionen für erweiterte Analyse und Visualisierung | Vollständig Open Source, Apache 2.0 lizenziert | Gewährleistet Kompatibilität mit Unternehmensrichtlinien und Compliance-Anforderungen |
Man könnte sich fragen, wie sich die Produkte in den Bereichen Datenverarbeitung und Skalierbarkeit unterscheiden, wenn man bedenkt, dass sie alle grundsätzlich Elasticsearch verwenden. Die Realität ist jedoch etwas differenzierter. Die Leistungsunterschiede ergeben sich aus der einzigartigen internen Datenorganisation, die jedem Produkt eigen ist. Wir erwarten, dass sich diese Unterschiede mit der Zeit vergrössern werden. Das liegt daran, dass OpenSearch und Elasticsearch sich ständig weiterentwickeln und neue Funktionen und Merkmale hinzufügen, was zu einer zunehmenden Divergenz in ihren Fähigkeiten und ihrer Leistung führt.
OpenSearch-Funktionen
Warum zu OpenSearch wechseln? Erstens bietet OpenSearch eine überragende Skalierbarkeit, die für die Bewältigung des wachsenden Datenvolumens in komplexen IT-Umgebungen entscheidend ist. Zweitens bietet OpenSearch erweiterte Datenanalysefunktionen, die eine effektivere Identifizierung und Eindämmung von Sicherheitsbedrohungen ermöglichen. Und schliesslich übernimmt OpenSearch als Abspaltung von Elasticsearch robuste und flexible Authentifizierungs- und Autorisierungsfunktionen. Es unterstützt eine breitere Palette von Authentifizierungsmechanismen, darunter LDAP/Active Directory, SAML, Kerberos und OpenID Connect, sowie RBAC für eine fein abgestufte Zugriffskontrolle auf Dashboards und Indizes. Während also alle Plattformen Authentifizierungs- und Autorisierungsfunktionen bieten, stellt OpenSearch eine umfassendere und flexiblere Lösung dar.
Hier einige der technischen Vorteile:
| Merkmal | Beschreibung |
|---|---|
| Unterstützung von Mandantenfähigkeit | OpenSearch enthält integrierte Unterstützung für Mandantenfähigkeit, was die Trennung von Daten und Dashboards auf der Grundlage verschiedener Benutzer oder Benutzergruppen ermöglicht. |
| Role-Based Access Control (RBAC) | RBAC ist entscheidend für die Verwaltung von Zugriffsrechten in einer mandantenfähigen Umgebung. Es ermöglicht Administratoren, Rollen zu definieren und diese Rollen Benutzern oder Gruppen zuzuweisen, um den Zugriff auf Daten und Ressourcen basierend auf diesen Rollen zu kontrollieren. |
| Indexberechtigungen | Diese Berechtigungen ermöglichen es Administratoren, den Zugriff auf Indexebene zu steuern. In einer mandantenfähigen Umgebung bedeutet dies, dass bestimmten Mandanten der Zugriff auf Indizes, die nicht zu ihnen gehören, verwehrt werden kann. |
| Document Level Security (DLS) | DLS ermöglicht eine feiner abgestufte Zugriffskontrolle, indem der Zugriff auf bestimmte Dokumente innerhalb eines Index eingeschränkt wird. Dies ist vor allem in mandantenfähigen Umgebungen nützlich, in denen verschiedene Mandanten Zugriff auf unterschiedliche Teilmengen von Daten innerhalb desselben Index benötigen können. |
| Field Level Security (FLS) | Ähnlich wie DLS beschränkt FLS den Zugriff auf bestimmte Felder innerhalb eines Dokuments. Das bedeutet, dass selbst wenn mehrere Mandanten Zugriff auf dasselbe Dokument haben, sie nur bestimmte Felder innerhalb dieses Dokuments sehen können. |
| OpenSearch | Unterstützt die Erstellung von mandantenspezifischen Ressourcen wie Dashboards und Visualisierungen und stellt sicher, dass die Daten und Ressourcen eines Mandanten für einen anderen Mandanten nicht sichtbar oder zugänglich sind. |
| Authentifizierungs- und Autorisierungsmechanismen | Die Implementierung einer starken Authentifizierung und Autorisierung ist in einer mandantenfähigen Umgebung entscheidend, um sicherzustellen, dass nur authentifizierte und autorisierte Benutzer auf ihre jeweiligen Daten und Ressourcen zugreifen können. |
| Audit Logging | Das Führen detaillierter Protokolle über Benutzeraktivitäten, insbesondere in Bezug auf Zugriff und Änderungen, ist für die Sicherheit und die Einhaltung von Vorschriften in einer mandantenfähigen Umgebung unerlässlich. |
| Ressourcen- und Abfragemanagement | Fähigkeit zur effektiven Verwaltung und Zuweisung von Ressourcen wie Speicher und CPU sowie zur Verwaltung und Optimierung von Abfragen, um sicherzustellen, dass kein einzelner Mandant die Systemressourcen monopolisieren kann. |
Vorteile von OpenSearch gegenüber ELK und Graylog
In der folgenden Tabelle versuchen wir, die Vorteile der Verwendung von OpenSearch gegenüber ELK oder Graylog zusammenzufassen.
| Merkmal/Aspekt | OpenSearch Vorteile gegenüber ELK | OpenSearch Vorteile gegenüber Graylog |
|---|---|---|
| Lizenzierung und Kosten | Vollständig quelloffen unter Apache 2.0-Lizenz, keine kostenpflichtigen Stufen | Vollständig quelloffen, Vermeidung potenzieller Lizenzkosten |
| Datenverarbeitungsfähigkeiten | Verarbeitet mehr Datentypen als Protokolle, erweiterte Analysen | Erweiterte Such- und Analysefunktionen |
| Skalierbarkeit und Leistung | Hochgradig skalierbar, ähnlich wie Elasticsearch, besser für grosse Datenmengen | Höhere Skalierbarkeit, insbesondere in verteilten Umgebungen |
| Flexibilität und Integration | Hohe Flexibilität, breites Spektrum an Integrationen möglich | Breitere Integrationsmöglichkeiten und Unterstützung von Datenquellen |
| Visualisierung | Erweiterte Visualisierung mit OpenSearch Dashboards | Ausgefeiltere Visualisierungswerkzeuge als Graylog |
| Community und Support | Wachsende Community, profitiert vom Erbe von Elasticsearch | Grössere und möglicherweise aktivere Community als Graylog |
Risiken der Verwendung von OpenSearch
OpenSearch kann auch einige Risiken bergen.
Komplexe Konfiguration und Verwaltung
Die fortschrittlichen Funktionen und Möglichkeiten von OpenSearch erfordern eine sorgfältige Konfiguration und laufende Verwaltung. Fehlkonfigurationen können zu Sicherheitslücken führen, wie z. B. unbefugtem Zugriff oder Datenlecks. Regelmässige Audits und Überprüfungen der Konfigurationseinstellungen, die sich an Best-Practice-Sicherheitsstandards orientieren, sind unerlässlich, um diesem Risiko zu begegnen.
Abhängigkeit und Vendor Lock-in
Da OpenSearch eng in AWS integriert ist, besteht das potenzielle Risiko einer Anbieterbindung, insbesondere bei den cloudbasierten Diensten. Dies kann die Flexibilität bei der Migration auf andere Plattformen einschränken und Herausforderungen bei der Anpassung an unterschiedliche Sicherheitsanforderungen oder Standards ausserhalb des AWS-Ökosystems mit sich bringen.
Die Verarbeitungskomponenten
Noch ein paar Worte zu den Ingestion-Komponenten. ELK und OpenSearch verwenden in erster Linie Logstash, während Graylog seine eigenen Mechanismen mit verschiedenen Listenern und Pipelines hat. Es gibt jedoch eine Vielzahl von “Log Shippern”, die zum Generieren, Aggregieren und sicheren Senden von Nachrichten an einen Server verwendet werden können: Zum Beispiel Logstash, Filebeat, Fluentd, Fluent Bit, Vector, Rsyslog, syslog-ng, usw. Die Wahl eines “Log-Shippers” hängt von mehreren Faktoren ab, wie z. B. dem Installationsort, der Plattform, an die die Protokolle gesendet werden sollen, der Einfachheit der Änderung von Nachrichten usw. In unseren Anwendungsfällen verwenden wir Logstash, aber wir evaluieren derzeit Vector.
| Merkmal/Aspekt | Logstash | Vector |
|---|---|---|
| Primäre Verwendung | Teil des ELK Stacks, wird für die Verarbeitung von Protokollen und die Aufnahme in Elasticsearch verwendet | Leistungsstarke, äusserst zuverlässige Pipeline für Beobachtungsdaten |
| Leistung | Gute Leistung, kann aber bei komplexer Verarbeitung ressourcenintensiv sein | Entwickelt für hohen Durchsatz und geringe Latenz, effizientere Ressourcennutzung |
| Konfiguration | Konfiguriert mit einer benutzerdefinierten Sprache speziell für Logstash | Verwendet eine TOML-basierte Konfiguration, die allgemein als einfacher und besser lesbar gilt |
| Datenanreicherung | Umfangreiche Filter-Plugins zur Datenanreicherung und -transformation | Unterstützt eine Vielzahl von Transformationen und ist erweiterbar |
| Bereitstellung | Wird in der Regel als eigenständiger Dienst bereitgestellt | Kann als Agent oder Dienst bereitgestellt werden; leichtgewichtig und geeignet für Edge Computing |
| Integration | Integriert sich in erster Linie mit Elasticsearch, unterstützt aber auch andere Outputs | Breite Output-Integrationen, einschliesslich Cloud-Services, Observability-Plattformen und Datenbanken |
| Zuverlässigkeit | Bietet robuste Funktionen wie persistente Warteschlangen für Zuverlässigkeit | Eingebaute Zuverlässigkeitsfunktionen, einschliesslich Backpressure-Management und Beobachtbarkeit |
| Community und Support | Teil des beliebten ELK Stacks mit einer grossen Community und umfangreicher Dokumentation | Wachsende Community, oft gelobt für seinen modernen Ansatz und seine Effizienz |
Zusammenfassung
Seit Jahren setzen wir Lösungen für die Protokollverwaltung ein. Nachdem wir eigene Lösungen entwickelt hatten, haben wir zunächst ELK und dann Graylog angepasst. Jedes dieser Produkte hat seinen Anwendungsfall und seine Einschränkungen für unsere Zwecke. Kürzlich sind wir auf OpenSearch umgestiegen, das, obwohl es das Risiko einer Herstellerbindung birgt, derzeit die beste Leistung in Bezug auf Datenmanagement, Visualisierung und Sicherheit bietet.
Über den Autor
Links
- https://elasticsearch.com
- https://fluentbit.io
- https://graylog.org/post/announcing-graylog-illuminate-v3-1/
- https://graylog.org/products/api-security/
- https://graylog.org/products/operations/
- https://graylog.org/products/security/#
- https://medium.com/@TechTim42/elastic-search-and-open-search-a-brief-history-of-the-license-war-8f474743e2ff
- https://opensearch.org
- https://vector.dev
- https://www.elastic.co/beats/filebeat
- https://www.elastic.co/logstash
- https://www.fluentd.org
- https://www.graylog.com
- https://www.rsyslog.com
- https://www.syslog-ng.com
Sie wollen die Sicherheit Ihrer Firewall prüfen?
Unsere Spezialisten kontaktieren Sie gern!
×
auditd
Rocco Gagliardi
Security Frameworks
Rocco Gagliardi
OpenAI ChatGPT
Rocco Gagliardi
Sie brauchen Unterstützung bei einem solchen Projekt?
Unsere Spezialisten kontaktieren Sie gern!