Forwarded from Cybershit
Сегодня частично затронем тему EndpointSecurity и поговорим про инструмент osquery. Исторически osquery сделали инфраструктурщики в Facebook, под свои задачи еще в 2013, а после публикации в опенсорс он завоевал сердечки и остальных.
Эта штука способа превратить ОС в реляционную базу данных, а вас вооружить всей мощью SQL чтобы с этими данными работать.
Глянуть историю процессов в динамике, найти стремные файлы используя YARA-правила или отобразить открытые порты — проще простого, собрать все недавние http запросы, включая JA3 от TLS — изи, нужно что-то посложнее? На самом деле все ограничивается вашей фантазией потому что у osquery есть свой SDK и возможность подключения расширений, написанных на плюсах, go или python.
Модель взаимодействия может быть тоже разной, агент может ждать запросы от мастера, или отгружать нужную инфу по шедулеру. Можно также организовать отправку всего этого добра в SIEM, напрямую в Elastic или еще какие IR системы.
Для тех, кто любит чтобы еще и красиво было можно сразу ставить в связке с fleetdm или osctrl для понятного и единого UI.
К слову для MacOS это вообще наверное лучшее, что существует на сегодняшний день для аналитики и мониторинга.
Помимо классики, osquery умеет в k8s, с помощью плагина kubequery, и частично в облака, но для этих целей уже лучше будет посмотреть в сторону cloudquery, правда это уже проект от других авторов и отдельная тема для разговора.
osquery > https://osquery.io/
cloudquery > https://www.cloudquery.io
k8s plugin > https://github.com/Uptycs/kubequery
UI > https://fleetdm.com, https://osctrl.net/
Overview > https://blog.palantir.com/osquery-across-the-enterprise-3c3c9d13ec55
QueryCon 2019 > http://www.youtube.com/watch?v=oaxappbTc2A&list=PLciHOL_J7IwoYxJ7FwJ-aomCBZViDBMas
osquery в мире AppSec > https://2019.zeronights.ru/wp-content/themes/zeronights-2019/public/materials/2_ZN2019_igor_grachev_evgenij_sidorov_andrej_kovalevOsquery_AppArmor.pdf
Старенькие конфиги для примера > https://github.com/palantir/osquery-configuration
Эта штука способа превратить ОС в реляционную базу данных, а вас вооружить всей мощью SQL чтобы с этими данными работать.
Глянуть историю процессов в динамике, найти стремные файлы используя YARA-правила или отобразить открытые порты — проще простого, собрать все недавние http запросы, включая JA3 от TLS — изи, нужно что-то посложнее? На самом деле все ограничивается вашей фантазией потому что у osquery есть свой SDK и возможность подключения расширений, написанных на плюсах, go или python.
Модель взаимодействия может быть тоже разной, агент может ждать запросы от мастера, или отгружать нужную инфу по шедулеру. Можно также организовать отправку всего этого добра в SIEM, напрямую в Elastic или еще какие IR системы.
Для тех, кто любит чтобы еще и красиво было можно сразу ставить в связке с fleetdm или osctrl для понятного и единого UI.
К слову для MacOS это вообще наверное лучшее, что существует на сегодняшний день для аналитики и мониторинга.
Помимо классики, osquery умеет в k8s, с помощью плагина kubequery, и частично в облака, но для этих целей уже лучше будет посмотреть в сторону cloudquery, правда это уже проект от других авторов и отдельная тема для разговора.
osquery > https://osquery.io/
cloudquery > https://www.cloudquery.io
k8s plugin > https://github.com/Uptycs/kubequery
UI > https://fleetdm.com, https://osctrl.net/
Overview > https://blog.palantir.com/osquery-across-the-enterprise-3c3c9d13ec55
QueryCon 2019 > http://www.youtube.com/watch?v=oaxappbTc2A&list=PLciHOL_J7IwoYxJ7FwJ-aomCBZViDBMas
osquery в мире AppSec > https://2019.zeronights.ru/wp-content/themes/zeronights-2019/public/materials/2_ZN2019_igor_grachev_evgenij_sidorov_andrej_kovalevOsquery_AppArmor.pdf
Старенькие конфиги для примера > https://github.com/palantir/osquery-configuration
Forwarded from /usr/bin
Linux: how to add a filesystem to fstab the right way
Если имя устройства для хранения /dev/sdb1, это означает, что это первый раздел второго жесткого диска, но нет гарантии, что /dev/sdb1 всегда будет именован /dev/sdb1. В зависимости от порядка подключения жестких дисков к материнской плате он может меняться, а использование внешних USB-накопителей может еще более усложнить присвоение имен устройствам. Если это произойдет, ваши жесткие диски могут быть смонтированы в неправильных точках монтирования, что приведет к потере или повреждению данных.
Решение этой проблемы состоит в том, чтобы смонтировать диски, используя их метки или их UUID. Я предпочитаю использовать метки, потому что у меня есть возможность установить специальную метку, чтобы увидеть метки дисков. В этой статье расскажу про утилиту blkid. Читать дальше.
Если имя устройства для хранения /dev/sdb1, это означает, что это первый раздел второго жесткого диска, но нет гарантии, что /dev/sdb1 всегда будет именован /dev/sdb1. В зависимости от порядка подключения жестких дисков к материнской плате он может меняться, а использование внешних USB-накопителей может еще более усложнить присвоение имен устройствам. Если это произойдет, ваши жесткие диски могут быть смонтированы в неправильных точках монтирования, что приведет к потере или повреждению данных.
Решение этой проблемы состоит в том, чтобы смонтировать диски, используя их метки или их UUID. Я предпочитаю использовать метки, потому что у меня есть возможность установить специальную метку, чтобы увидеть метки дисков. В этой статье расскажу про утилиту blkid. Читать дальше.
Forwarded from Мониторим ИТ
Monitoring errors in your A/B tests
A/B-тестирование — важный инструмент для улучшения продукта. В Preply, мы запускаем сотни тестов ежеквартально, доставляя наш продукт с невероятной скоростью. Но запуск теста всегда связан с некоторыми рисками — вы никогда не можете быть уверены, что протестировали каждый отдельный кейс и не создадите проблем, особенно если вы двигаетесь быстро. Некоторые проблемы могут возникнуть из-за различных взаимодействий A/B-тестов, которые не всегда можно предсказать. Какое решение? Правильный мониторинг. И я говорю не о стиле «подождите, пока кто-нибудь свяжется со службой поддержки», а о автоматизированном подходе, основанном на данных. Читать дальше.
A/B-тестирование — важный инструмент для улучшения продукта. В Preply, мы запускаем сотни тестов ежеквартально, доставляя наш продукт с невероятной скоростью. Но запуск теста всегда связан с некоторыми рисками — вы никогда не можете быть уверены, что протестировали каждый отдельный кейс и не создадите проблем, особенно если вы двигаетесь быстро. Некоторые проблемы могут возникнуть из-за различных взаимодействий A/B-тестов, которые не всегда можно предсказать. Какое решение? Правильный мониторинг. И я говорю не о стиле «подождите, пока кто-нибудь свяжется со службой поддержки», а о автоматизированном подходе, основанном на данных. Читать дальше.
Forwarded from Мониторим ИТ
Distributed Tracing for RabbitMQ with OpenTelemetry
В этой статье вы узнаете, как использовать OpenTelemetry для инструментирования RabbiMQ. Затем увидите, как визуализировать трейсы в Jaeger и Aspecto. В статье используется Node.js для всех примеров кода. Читать дальше.
В этой статье вы узнаете, как использовать OpenTelemetry для инструментирования RabbiMQ. Затем увидите, как визуализировать трейсы в Jaeger и Aspecto. В статье используется Node.js для всех примеров кода. Читать дальше.
Forwarded from Мониторим ИТ
AIOPs: Anomaly detection in Prometheus Time Series data with Prophet library
..используя Prophet, чтобы заглянуть в прошлое и найти аномалии
Prophet — библиотека прогнозирования временных рядов с открытым исходным кодом.
Prophet — это процедура прогнозирования данных временных рядов на основе аддитивной модели, в которой нелинейные тренды соответствуют годовой, недельной и ежедневной сезонности.
Он следует концепции точек изменения; то есть он меняет аппроксимацию кривой на основе точек перегиба, которые он идентифицирует в данных временного ряда. Мы можем нанести точки изменения, чтобы визуально увидеть точки перегиба, которые он идентифицирует. Следовательно, он очень хорошо вычисляет тренды.
Мы можем использовать это свойство, чтобы подогнать данные временных рядов из Prometheus или Grafana и использовать его для обнаружения выбросов, которые являются точками аномалий.
Читать дальше.
..используя Prophet, чтобы заглянуть в прошлое и найти аномалии
Prophet — библиотека прогнозирования временных рядов с открытым исходным кодом.
Prophet — это процедура прогнозирования данных временных рядов на основе аддитивной модели, в которой нелинейные тренды соответствуют годовой, недельной и ежедневной сезонности.
Он следует концепции точек изменения; то есть он меняет аппроксимацию кривой на основе точек перегиба, которые он идентифицирует в данных временного ряда. Мы можем нанести точки изменения, чтобы визуально увидеть точки перегиба, которые он идентифицирует. Следовательно, он очень хорошо вычисляет тренды.
Мы можем использовать это свойство, чтобы подогнать данные временных рядов из Prometheus или Grafana и использовать его для обнаружения выбросов, которые являются точками аномалий.
Читать дальше.
Forwarded from /usr/bin
A curated list of “Top” based monitoring tools for use in Linux and Unix terminals.
В этой статье ссылки на репозитории инструментов для мониторинга Linux.
Для мониторинга статуса процессов: htop, bpytop, btop, bashtop, atop, vtop, gtop, gotop, ytop, treetop, tiptop, pytop, mintop, ntop, below, hegemon, glances, nmon.
Для мониторинга GPU: nvtop, intel_gpu_top, radeontop, gltop.
Для мониторинга сети: iftop, sntop, jnettop, dnstop, nats-top, nettop, pingtop, iptraf-ng.
Для мониторинга дисковой подсистемы: iotop, drbdtop, nfstop, hdtop, viotop.
Для мониторинга контейнеров: ctop, ktop, kube-top.
И много других.
В этой статье ссылки на репозитории инструментов для мониторинга Linux.
Для мониторинга статуса процессов: htop, bpytop, btop, bashtop, atop, vtop, gtop, gotop, ytop, treetop, tiptop, pytop, mintop, ntop, below, hegemon, glances, nmon.
Для мониторинга GPU: nvtop, intel_gpu_top, radeontop, gltop.
Для мониторинга сети: iftop, sntop, jnettop, dnstop, nats-top, nettop, pingtop, iptraf-ng.
Для мониторинга дисковой подсистемы: iotop, drbdtop, nfstop, hdtop, viotop.
Для мониторинга контейнеров: ctop, ktop, kube-top.
И много других.
Forwarded from Мониторим ИТ
5 tips on implementing Observability
⚡️ Tip 1. Productionize your programming languages
⚡️ Tip 2. Alert on most important service metrics
⚡️ Tip 3. Add some blackbox monitoring into the mix
⚡️ Tip 4. Learn querying your metric database
⚡️ Tip 5. Invest in tracing
Читать дальше.
⚡️ Tip 1. Productionize your programming languages
⚡️ Tip 2. Alert on most important service metrics
⚡️ Tip 3. Add some blackbox monitoring into the mix
⚡️ Tip 4. Learn querying your metric database
⚡️ Tip 5. Invest in tracing
Читать дальше.
Forwarded from Мониторим ИТ
Displaying Real-Time Sensor Data in Grafana using MQTT
Начиная с Grafana 8.0 можно выполнять обновления данных в реальном времени с помощью нового потокового API. Это означает, что теперь можно создавать диаграммы, которые обновляются в режиме реального времени и по запросу.
Чтобы использовать эту функцию, можно использовать плагин MQTT, который позволяет пользователям Grafana визуализировать данные MQTT в режиме реального времени. В этой статье о том, как использовать датасорс MQTT для отображения данных датчиков в режиме реального времени. Читать дальше.
Начиная с Grafana 8.0 можно выполнять обновления данных в реальном времени с помощью нового потокового API. Это означает, что теперь можно создавать диаграммы, которые обновляются в режиме реального времени и по запросу.
Чтобы использовать эту функцию, можно использовать плагин MQTT, который позволяет пользователям Grafana визуализировать данные MQTT в режиме реального времени. В этой статье о том, как использовать датасорс MQTT для отображения данных датчиков в режиме реального времени. Читать дальше.
Forwarded from Мониторим ИТ
ioping
Инструмент для мониторинга задержки ввода-вывода в режиме реального времени. Он показывает задержку диска так же, как ping показывает задержку сети.
Репыч на Гитхабе.
Инструмент для мониторинга задержки ввода-вывода в режиме реального времени. Он показывает задержку диска так же, как ping показывает задержку сети.
Репыч на Гитхабе.
Forwarded from DevBrain
Как работает Redis? Узнать можно тут: https://bit.ly/3pIbA5b
architecturenotes.co
Redis Explained
A deep technical dive into all things Redis. Covering various Redis topologies, data persistence and process forking.
Forwarded from Мониторим ИТ
A beginner’s guide to Jaeger
Эта статься — начало серии из 5 частей. В этой части руководство для начинающих по Jaeger. Читать дальше.
Эта статься — начало серии из 5 частей. В этой части руководство для начинающих по Jaeger. Читать дальше.
Forwarded from DevOps&SRE Library
cf2tf
cf2tf is a CLI tool that attempts to convert Cloudformation to Terraform. We say attempt because it's not really possible to make the conversion with 100% accuracy (currently) because of several reasons mostly around converting a Map value in Cloudformation to the correct value in HCL.https://github.com/DontShaveTheYak/cf2tf
Как не быть программистом, раскурить eBPF за сутки и начать мониторить DNS / Хабр
https://habr.com/ru/post/683566/
https://habr.com/ru/post/683566/
Хабр
Как не быть программистом, раскурить eBPF за сутки и начать мониторить DNS
Представим: сервер может отправлять легитимные запросы, но IP, на которые он будет их слать, неизвестны. В журнале сетевого фильтра видно что запросы таки да, идут. Но не ясно - это как раз легитимные...
Forwarded from Мониторим ИТ
Мониторинг Ceph
Как не пропустить падения и взлёты в жизни кластеров ceph с помощью prometheus или victoriametrics. Теория и практика мониторинга распределенного хранилища. Читать далее.
Как не пропустить падения и взлёты в жизни кластеров ceph с помощью prometheus или victoriametrics. Теория и практика мониторинга распределенного хранилища. Читать далее.
Forwarded from Мониторим ИТ
Grafana Loki and MinIO: A Perfect Match!
Grafana Loki становится одним из фактических стандартов для агрегации журналов в рабочих нагрузках Kubernetes, в этой статье мы покажем, как можно использовать Grafana Loki вместе с MinIO. Читать дальше.
Grafana Loki становится одним из фактических стандартов для агрегации журналов в рабочих нагрузках Kubernetes, в этой статье мы покажем, как можно использовать Grafana Loki вместе с MinIO. Читать дальше.
Forwarded from Мониторим ИТ
Configure Grafana to Use Remote Database for HA
В этой статье мы настроим Grafana с удаленной базой данных, чтобы затем её масштабировать ее до N экземпляров.
База данных SQLite по умолчанию не будет работать при масштабировании более 1 экземпляра, поскольку база данных SQLite3 встроена в Grafana. Читать дальше.
В этой статье мы настроим Grafana с удаленной базой данных, чтобы затем её масштабировать ее до N экземпляров.
База данных SQLite по умолчанию не будет работать при масштабировании более 1 экземпляра, поскольку база данных SQLite3 встроена в Grafana. Читать дальше.
Forwarded from Мониторим ИТ
A beginner’s guide to Jaeger
Эта статься — начало серии из 5 частей. В этой части руководство для начинающих по Jaeger. Читать дальше.
Эта статься — начало серии из 5 частей. В этой части руководство для начинающих по Jaeger. Читать дальше.