Giới thiệu

G-BlackHole Agent là thành phần thu thập dữ liệu chạy trên các máy chủ và endpoint, cung cấp khả năng giám sát thời gian thực, thu thập log và quản lý sự kiện bảo mật. Agent được thiết kế để hoạt động độc lập hoặc kết hợp với Forwarder trong môi trường hybrid. Sơ đồ kiến trúc G-BlackHole

Tính năng chính

Thu thập dữ liệu hệ thống

  • APM Metrics: Thu thập metrics hệ thống bao gồm CPU, memory, disk, network, và process information
  • File Logs: Theo dõi và thu thập log từ các file với hỗ trợ log rotation
  • Windows Event Logs: Thu thập Windows Event Log từ các channel như Application, Security, System

Quản lý và điều phối

  • Supervisor: Giám sát vòng đời của các collector và quản lý trạng thái
  • Orchestrator: Điều phối hoạt động giữa các thành phần và xử lý cập nhật cấu hình
  • Runtime Context: Quản lý ngữ cảnh thời gian chạy và thông tin thiết bị

Tích hợp và giao tiếp

  • Registry Integration: Kết nối với Registry server (tùy chọn) để xác thực và đồng bộ cấu hình
  • MQTT/Kafka/BlackHole: Hỗ trợ nhiều sink để gửi dữ liệu đến các hệ thống khác nhau
  • Service Management: Hỗ trợ chạy như Windows Service hoặc systemd service

Kiến trúc

Agent được xây dựng theo kiến trúc modular với các thành phần chính: 
┌─────────────────┐    ┌─────────────────┐    ┌─────────────────┐
│   APM Collector │    │  File Watcher   │    │ Windows Events  │
│                 │    │                 │    │                 │
│ • CPU/Memory    │    │ • Log Rotation  │    │ • Event Channels│
│ • Disk/Network  │    │ • Real-time     │    │ • Event IDs     │
│ • Process Info  │    │ • Pattern Match │    │ • Filtering     │
└─────────────────┘    └─────────────────┘    └─────────────────┘
         │                       │                       │
         └───────────────────────┼───────────────────────┘

                    ┌─────────────────┐
                    │   Supervisor    │
                    │                 │
                    │ • Lifecycle     │
                    │ • Health Check  │
                    │ • Error Recovery│
                    └─────────────────┘

                    ┌─────────────────┐
                    │  Orchestrator   │
                    │                 │
                    │ • Coordination  │
                    │ • Config Update │
                    │ • Status Mgmt   │
                    └─────────────────┘

                    ┌─────────────────┐
                    │     Sinks       │
                    │                 │
                    │ • MQTT          │
                    │ • Kafka         │
                    │ • BlackHole     │
                    └─────────────────┘

Nền tảng hỗ trợ

Windows

  • Windows 10/11: Desktop và Server editions
  • Windows Server 2016+: Tất cả editions
  • Service Mode: Hỗ trợ chạy như Windows Service
  • Event Logs: Thu thập từ Windows Event Log system

Linux

  • Distributions: Ubuntu, CentOS, RHEL, Debian, Alpine
  • Architecture: x86_64, ARM64
  • Musl Support: Tối ưu cho Alpine Linux và các distro sử dụng musl libc
  • Systemd: Hỗ trợ systemd service management

Yêu cầu hệ thống

Tối thiểu

  • CPU: 1 core, 1GHz
  • Memory: 512MB RAM
  • Disk: 100MB free space
  • Network: Kết nối internet (nếu sử dụng Registry)

Khuyến nghị

  • CPU: 2+ cores, 2GHz+
  • Memory: 1.5GB+ RAM
  • Disk: 2GB+ free space cho logs và cache
  • Network: Băng thông ổn định cho việc gửi dữ liệu

Bảo mật

  • Authentication: Xác thực với Registry server bằng API key (nếu sử dụng Registry)
  • TLS/SSL: Hỗ trợ mã hóa trong quá trình truyền dữ liệu
  • Token-based: Sử dụng device token cho các giao tiếp sau xác thực
  • Proxy Support: Hỗ trợ kết nối qua HTTP/HTTPS proxy

Giám sát và logging

  • Health Checks: Tự động kiểm tra sức khỏe của các collector
  • Metrics: Thu thập metrics về hiệu suất và trạng thái
  • Structured Logging: Log có cấu trúc với các level khác nhau
  • Error Recovery: Tự động phục hồi từ lỗi và retry logic