![\"\"](\"http:\/\/gbiondi.tech2.it\/wp-content\/uploads\/2022\/03\/image-1024x564.png\")
<\/figure>\n\n\n\n- \n
- Gli Stream sono delle regole che ti permettono di isolare gli eventi registrati in modo da esaminare solo le source (il dispositivo che invia i log) che ti interessano in quel momento attraverso un semplice meccanismo di regole e di input. Riassumendo uno stream si collega ad un input e attraverso delle regole estrae solo quello che ti interessa. Puo’ essere usato anche per ridirigere la registrazione su un set di indici dedicati con una politica di cancellazione diversa dalla default.<\/li>\n<\/ul>\n\n\n\n
![\"\"](\"http:\/\/gbiondi.tech2.it\/wp-content\/uploads\/2022\/03\/image-1-1024x482.png\")
<\/figure>\n\n\n\n- \n
- Gli Alert sono come dice il nome degli avvisi quado si verifica qualcosa che vale la pesa evidenziare all IT. Ti faccio un esempio banalissimo: se normalmente ricevi 1000 eventi all’ora potresti essere interessato se gli eventi nell’ultima ora sono 2000<\/li>\n<\/ul>\n\n\n\n
![\"\"](\"http:\/\/gbiondi.tech2.it\/wp-content\/uploads\/2022\/03\/image-2-1024x410.png\")
<\/figure>\n\n\n\n- \n
- Dashboard sono delle particolari visualizzazioni che ti permettono di salvare delle query correate da grafici e dati in modo da poterle richiamare quando vuoi, come ad esempio una dashboard che ti visualizza il numero di eventi nelle ultime 24 ore per sorgente<\/li>\n<\/ul>\n\n\n\n
![\"\"](\"http:\/\/gbiondi.tech2.it\/wp-content\/uploads\/2022\/03\/image-3-1024x439.png\")
<\/figure>\n\n\n\n- \n
- Sidecar: \u00e8 forse la caratteristica pi\u00f9 eclatante di Graylog. E’ possibile avere la gestione centralizzata degli agent che inviano i log attraversoil collector. Mi soffermo su sidecar in quanto \u00e8 secondo me un ottimo modo per collezionare i log provenienti da Windows filtrando solo gli eventi interessanti per i nostri scopi. In sostanza sidecar \u00e8 ‘solo’ un’applicazione che gira sulla macchina della quale vogliamo raccogliere i log che ogni pochi secondi controlla sul server Graylog se esiste una nuova configurazione per il collettore di eventi. Per spiegarsi meglio, nel caso di una macchina Windows Sidecar (agent di management) e WinLogBeat (agent collector) sono installati sulla macchina Windows. Il compito di sidecar \u00e8 lanciare\/fermare\/riconfigurare il servizio WinLogBeat presente sulla macchina Windows. Quindi abbiamo un sistema dal quale posso riconfigurare gli agenti collettori dei log in modo da istruirli in modo da farmi arrivare solo gli eventi interessanti o che reputo tali. Questo potrebbe sembrare poco importante ma considerando installazioni con centinaia di macchine Windows (con collettore WinLogBeat)oppure Linux (con collettore FileBeat) posso riconfigurare in pochi secondi tutto il sistema di collezione dei log. Posso inoltre avere diversi file di configurazione con i quali posso fare dei test solo su alcune macchine per verificare che la configurazione funzioni correttamente. E anche se invio un file di configurazione che blocca il collector, non e’ un problema, dalla console vedo che il collector non sta funzionando e posso riconfigurarlo attraverso il sidecar. Tieni a mente che tutto ci\u00f2 \u00e8 gratuito e open source.<\/li>\n<\/ul>\n\n\n\n
![\"\"](\"http:\/\/gbiondi.tech2.it\/wp-content\/uploads\/2022\/03\/image-5-1024x454.png\")
<\/figure>\n\n\n\n![\"\"](\"http:\/\/gbiondi.tech2.it\/wp-content\/uploads\/2022\/03\/image-4-1024x248.png\")
<\/figure>\n\n\n\n- \n
- Politiche di ritenzione degli eventi: i dati vengono immagazinati nello storage ma occorre che ci sia una politica di cancellazione degli stessi in modo da essere compliants con GDPR (o privacy) e comunque per non saturare lo storage. Graylog scrive su un database basato su Elastic che chima indici. Un indice viene chiuso quando raggiunge un certo numero di byte oppure di eventi al suo interno. Puoi configurare quanti indici mantenere sul tuo storage, di norma un indice viene chiuso quando hai 20 milioni di eventi (che Graylog chiama docs) e sempre di default hai uno storico di 20 indici, quando arriva al numero 20 gli indici ruotano cancellando il pi\u00f9 vecchio. Inoltre puoi avere indici dedicati ad un particolare input: metti caso che c’e’ un dispositivo che (per ragioni allucinanti che non so dirti ma se chiedi al tuo DPO ti spiegher\u00e0) devi mantenere solo per 3 indici da 1000 eventi ciascuno, puoi fare in modo di avere un’altra politica di storage che cancellera’ i tuoi indici con quel criterio. Questa caratteristica si ottiene attraverso gli stream.<\/li>\n<\/ul>\n\n\n\n
![\"\"](\"http:\/\/gbiondi.tech2.it\/wp-content\/uploads\/2022\/03\/image-6-1024x420.png\")
<\/figure>\n\n\n\n
- Politiche di ritenzione degli eventi: i dati vengono immagazinati nello storage ma occorre che ci sia una politica di cancellazione degli stessi in modo da essere compliants con GDPR (o privacy) e comunque per non saturare lo storage. Graylog scrive su un database basato su Elastic che chima indici. Un indice viene chiuso quando raggiunge un certo numero di byte oppure di eventi al suo interno. Puoi configurare quanti indici mantenere sul tuo storage, di norma un indice viene chiuso quando hai 20 milioni di eventi (che Graylog chiama docs) e sempre di default hai uno storico di 20 indici, quando arriva al numero 20 gli indici ruotano cancellando il pi\u00f9 vecchio. Inoltre puoi avere indici dedicati ad un particolare input: metti caso che c’e’ un dispositivo che (per ragioni allucinanti che non so dirti ma se chiedi al tuo DPO ti spiegher\u00e0) devi mantenere solo per 3 indici da 1000 eventi ciascuno, puoi fare in modo di avere un’altra politica di storage che cancellera’ i tuoi indici con quel criterio. Questa caratteristica si ottiene attraverso gli stream.<\/li>\n<\/ul>\n\n\n\n
- Sidecar: \u00e8 forse la caratteristica pi\u00f9 eclatante di Graylog. E’ possibile avere la gestione centralizzata degli agent che inviano i log attraversoil collector. Mi soffermo su sidecar in quanto \u00e8 secondo me un ottimo modo per collezionare i log provenienti da Windows filtrando solo gli eventi interessanti per i nostri scopi. In sostanza sidecar \u00e8 ‘solo’ un’applicazione che gira sulla macchina della quale vogliamo raccogliere i log che ogni pochi secondi controlla sul server Graylog se esiste una nuova configurazione per il collettore di eventi. Per spiegarsi meglio, nel caso di una macchina Windows Sidecar (agent di management) e WinLogBeat (agent collector) sono installati sulla macchina Windows. Il compito di sidecar \u00e8 lanciare\/fermare\/riconfigurare il servizio WinLogBeat presente sulla macchina Windows. Quindi abbiamo un sistema dal quale posso riconfigurare gli agenti collettori dei log in modo da istruirli in modo da farmi arrivare solo gli eventi interessanti o che reputo tali. Questo potrebbe sembrare poco importante ma considerando installazioni con centinaia di macchine Windows (con collettore WinLogBeat)oppure Linux (con collettore FileBeat) posso riconfigurare in pochi secondi tutto il sistema di collezione dei log. Posso inoltre avere diversi file di configurazione con i quali posso fare dei test solo su alcune macchine per verificare che la configurazione funzioni correttamente. E anche se invio un file di configurazione che blocca il collector, non e’ un problema, dalla console vedo che il collector non sta funzionando e posso riconfigurarlo attraverso il sidecar. Tieni a mente che tutto ci\u00f2 \u00e8 gratuito e open source.<\/li>\n<\/ul>\n\n\n\n
- Dashboard sono delle particolari visualizzazioni che ti permettono di salvare delle query correate da grafici e dati in modo da poterle richiamare quando vuoi, come ad esempio una dashboard che ti visualizza il numero di eventi nelle ultime 24 ore per sorgente<\/li>\n<\/ul>\n\n\n\n
- Gli Alert sono come dice il nome degli avvisi quado si verifica qualcosa che vale la pesa evidenziare all IT. Ti faccio un esempio banalissimo: se normalmente ricevi 1000 eventi all’ora potresti essere interessato se gli eventi nell’ultima ora sono 2000<\/li>\n<\/ul>\n\n\n\n