Skip to main content

О системе HunterLog

История возникновения

Каждая информационная система в процессе своей работы генерирует огромное количество служебных информационных сообщений, предупреждений и ошибок. Они описывают работоспособность, быстродействие, события безопасности и много других ключевых особенностей функционала в процессе работы приложения.
Разобраться во всем многообразии служебных данных непросто, но их ценность крайне велика. Отслеживание и своевременная реакция на соответствующие сообщения могут предсказать и предотвратить сбои, ошибки, низкую скорость работы и возможные атаки злоумышленников на ключевые корпоративные информационные системы.
В процессе очередного расследования сбоев в работе возникла идея о создании универсального инструмента для сбора, контроля и анализа сообщений систем, используемых повсеместно в организациях. Результатом стало создание HunterLog.

Что такое HunterLog?

Централизованная система аудита для предприятий любого размера. Обеспечивает эффективный сбор, обработку и хранение событий с поддерживаемых сервисов.
Идеология решения:

  • Единая веб-консоль для всех отслеживаемых систем
  • Быстрый поиск с наглядным представлением событий
  • Расширенная детализация для поиска root cause причин возникновения сбоев
  • Высокоэффективное и экономичное хранение всех собранных данных
  • Построение цепочек из разных источников

Как это работает:

Основу решения составляют известные и доказавшие свою надёжность и эффективность технологии. Помимо этого, выбор механизмов, ответственных за работу компонентов HunterLog, осуществлялся с учётом тесной интеграции и взаимодействия в рамках единой системы.

Компоненты:

Упрощённую архитектуру решения можно представить следующими компонентами:

  • Vector/Winlogbeat для Windows ОС - сбор информации с систем
  • Vector - обработка и систематизация собранных данных
  • Clickhouse – хранение (в том числе долговременное) организованных данных
  • FastApi – бэкэнд + расчетные задачи
  • React + Ant Design – визуальное представление и отчёты

Поддерживаемые сервисы:

Отслеживание активности по следующим системам и сервисам:

  • Active Directory
    • Изменения учетных записей/групп/OU/папок
    • Репликация
    • изменения объектов с указанием значений до и после
    • изменение конфигурации с указанием значений до и после
    • события доступа к критичным объектам
    • контроль прав доступа
    • ошибки работы
    • ошибки безопасности
    • ошибки репликации между контроллерами
  • Group Policy Objects
    • изменения групповых политик
    • текущие права пользователей на назначение и применение политик
    • отслеживание применения политик к объектам
    • сохранение установленных и предыдущих значений после применения
  • DNS
    • изменения конфигурации и всех вносимых изменений
    • добавление, удаление и изменение записей с сохранением значений
    • ошибки обращения к службе разрешения имён
    • Поиск по событиям
  • DHCP
    • изменения конфигурации серверов выдачи адресов
    • отслеживание доступности служб
    • мониторинг изменений в областях выдачи адресов
    • оповещения о недостаточном количестве доступных адресов
  • Exchange
    • изменения конфигурации
    • попытки доступа к привилегированным ящикам
    • полная трассировка писем
    • мониторинг доступности внешних адресов
    • отслеживание возникновения аномалий (рост очередей, ошибки…)
    • Отслеживание событий OWA и ActiveSync (мобильные клиенты)
    • Состояние DAG (Database Available Group)
    • Запуск PowerShell-скриптов
    • Загрузка/выгрузка почтовых ящиков
  • OS Windows
    • Изменение локальных групп и учетных записей
    • Применение GPO
    • Изменения в планировщика заданий
    • Изменения в firewall-е
  • OS Linux
    • Изменение файлов
    • Изменения учетных записей и групп
    • Входы/выходы
    • Логи вводимых команд
  • Аналитика
    • Сквозной поиск действий пользователя
    • Сквозной поиск по истории IP
    • История подключений к серверам по RDP
  • VMWare
    • Сбор событий как с локальных хостов, так и с vcenter
    • Создание/изменение/удаление объектов
    • Работа внутренних служб (DRM, scheduler)
    • Входы/выходы как для локальных хостов, так и для vcenter
  • NetFlow
    • Сбор с любых устройств, поддерживающих этот протокол
  • VPN
    • Cisco
    • OpenVPN
    • Wireguard

Поиск по любым событиям не является конечным, все полученные данные могут быть отсортированы и отфильтрованы в соответствии с задачей.

Варианты внедрения

HunterLog доступен как облачный сервис, так и on-premise.