Các khái niệm cơ bản
Tài liệu này giải thích các khái niệm cơ bản và thuật ngữ quan trọng trong hệ thống G-BlackHole SIEM. Hiểu rõ các khái niệm này sẽ giúp bạn triển khai và vận hành hệ thống hiệu quả hơn.Các thành phần chính
Agent
Định nghĩa: Thành phần thu thập dữ liệu từ các endpoint, thiết bị mạng và ứng dụng. Chức năng chính:- Thu thập logs từ hệ thống
- Thu thập metrics và telemetry
- Thu thập dữ liệu từ các ứng dụng
- Gửi dữ liệu đến Forwarder hoặc Registry
- Nhẹ và hiệu quả
- Hỗ trợ nhiều nền tảng
- Cấu hình linh hoạt
- Tự động retry và recovery
Forwarder
Định nghĩa: Thành phần trung gian hoạt động như gateway và proxy server. Chức năng chính:- Nhận dữ liệu từ Agent
- Thu thập syslog từ thiết bị mạng
- Cung cấp HTTP CONNECT proxy
- Chuyển tiếp dữ liệu đến các sink
- Embedded MQTT broker
- Rsyslog server tích hợp
- HTTP CONNECT proxy
- Load balancing và failover
Device management
Định nghĩa: Hệ thống quản lý tập trung cho xác thực và cấu hình. Chức năng chính:- Xác thực Agent và Forwarder
- Quản lý cấu hình tập trung
- Đồng bộ hóa dữ liệu
- Monitoring và health check
- RESTful API
- JWT authentication
- Configuration management
- Real-time synchronization
Thuật ngữ kỹ thuật
Sources
Định nghĩa: Các nguồn dữ liệu mà Agent hoặc Forwarder thu thập. Các loại Sources:- File Watcher: Theo dõi thay đổi file
- Windows Event Log: Thu thập Windows events
- Syslog: Thu thập syslog messages
- MQTT: Thu thập từ MQTT broker
- APM: Application Performance Monitoring
- Custom: Nguồn dữ liệu tùy chỉnh
Sinks
Định nghĩa: Các đích đến mà dữ liệu được gửi. Các loại Sinks:- MQTT: Gửi đến MQTT broker
- Kafka: Gửi đến Apache Kafka
- BlackHole: Gửi đến giải pháp của chúng tôi
- HTTP: Gửi qua HTTP API
Inventory
Định nghĩa: Hệ thống quản lý queue và buffer cho dữ liệu. Chức năng:- Lưu trữ tạm thời dữ liệu
- Quản lý retry logic
- Đảm bảo delivery guarantee
- Backpressure handling
Orchestrator
Định nghĩa: Thành phần điều phối và quản lý luồng dữ liệu. Chức năng:- Quản lý lifecycle của các service
- Điều phối data flow
- Health monitoring
- Configuration management
Giao thức và chuẩn
MQTT (Message Queuing Telemetry Transport)
Định nghĩa: Giao thức messaging nhẹ cho IoT và M2M communication. Đặc điểm:- Publish/Subscribe model
- QoS levels (0, 1, 2)
- Retained messages
- Will messages
- Authentication và authorization
- Communication giữa Agent và Forwarder
- Embedded MQTT broker trong Forwarder
- Topic-based routing
- Message persistence
Syslog
Định nghĩa: Giao thức chuẩn để gửi log messages qua network. Đặc điểm:- UDP và TCP transport
- RFC 3164 và RFC 5424
- Structured data
- Priority levels
- Timestamp và hostname
- Thu thập logs từ thiết bị mạng
- Rsyslog server tích hợp
- IP filtering và parsing
HTTP CONNECT
Định nghĩa: Phương thức HTTP để tạo tunnel qua proxy server. Đặc điểm:- SSL/TLS tunneling
- Proxy authentication
- Connection reuse
- Error handling
- HTTPS proxy server
- Secure communication
- Authentication support
- Load balancing
Bảo mật
Authentication
Các phương thức xác thực:- API Key: Sử dụng API key cho Registry
- Basic Auth: Username/password cho MQTT và HTTP
- JWT: JSON Web Token cho API access
- Certificate: X.509 certificates cho TLS
Encryption
Các loại mã hóa:- TLS/SSL: Mã hóa trong quá trình truyền tải
- MQTT over TLS: MQTT với TLS encryption
- HTTPS: HTTP với SSL/TLS
- End-to-end: Mã hóa từ source đến destination
Authorization
Các mô hình phân quyền:- Role-based: Phân quyền theo vai trò
- Resource-based: Phân quyền theo tài nguyên
- Topic-based: Phân quyền theo MQTT topics
- IP-based: Phân quyền theo địa chỉ IP
Performance và Scalability
Load Balancing
Các chiến lược:- Round Robin: Phân phối đều
- Least Connections: Chọn server ít kết nối nhất
- Weighted: Phân phối theo trọng số
- Health-based: Chỉ gửi đến server healthy
Caching
Các loại cache:- Memory Cache: Cache trong RAM
- Disk Cache: Cache trên disk
- Distributed Cache: Cache phân tán
- TTL Cache: Cache với thời gian sống
Monitoring
Các metrics quan trọng:- Throughput: Số lượng messages/giây
- Latency: Thời gian xử lý
- Error Rate: Tỷ lệ lỗi
- Resource Usage: CPU, Memory, Disk, Network
Compliance và Standards
GDPR (General Data Protection Regulation)
Yêu cầu:- Data minimization
- Right to be forgotten
- Data portability
- Privacy by design
HIPAA (Health Insurance Portability and Accountability Act)
Yêu cầu:- Administrative safeguards
- Physical safeguards
- Technical safeguards
- Audit controls
SOX (Sarbanes-Oxley Act)
Yêu cầu:- Financial reporting accuracy
- Internal controls
- Audit trails
- Data retention
Best Practices
Configuration Management
- Sử dụng version control cho config files
- Tách biệt config cho từng environment
- Sử dụng environment variables cho sensitive data
- Validate config trước khi deploy
Monitoring và Alerting
- Thiết lập comprehensive monitoring
- Tạo alerts cho critical issues
- Sử dụng dashboards để visualization
- Regular health checks
Security
- Regular security updates
- Strong authentication
- Network segmentation
- Regular security audits
Performance
- Load testing trước khi deploy
- Monitor resource usage
- Optimize configuration
- Scale horizontally khi cần
Troubleshooting
Common Issues
- Connection failures: Kiểm tra network và authentication
- Performance issues: Monitor resource usage và optimize config
- Data loss: Kiểm tra inventory và retry logic
- Configuration errors: Validate config và check logs
Debugging
- Log analysis: Sử dụng structured logging
- Network debugging: Sử dụng tools như tcpdump, wireshark
- Performance profiling: Sử dụng profiling tools
- Health checks: Regular health monitoring