BettinaSM/observability-lab

 # 📊 可观测性实验：指标、日志与安全分析 (Prometheus + Grafana) ## 概述 本项目模拟了混合企业环境中的可观测性，涵盖 Linux、AIX 和 Windows 系统。 它演示了如何将指标和日志结合起来，以检测异常、安全问题和基础设施行为。 ## 目标 - 跨多种操作系统模拟基础设施监控 - 演示可观测性概念（指标 + 日志关联） - 识别异常和安全事件 - 应用以安全为中心的监控方法 ## 架构 - Prometheus（指标收集 - 模拟） - Grafana（仪表板可视化） - Exporters（Linux、Windows 和 AIX 指标） - 日志（身份验证和安全事件） ## 调查流程 本项目遵循基本的可观测性调查方法： 1. 指标表明存在异常行为（例如，CPU 激增） 2. 分析日志以识别可能的原因 3. 关联事件以确认异常或安全 incidents（事件） 示例： - 检测到高 CPU 使用率 - 日志中出现多次失败的登录尝试 - 识别出可能的暴力破解攻击 ## 收集的指标 - CPU 使用率 - 内存使用率 - 磁盘使用率 ## 分析的日志 ### Linux - SSH 身份验证日志 (auth.log) ### AIX - 安全登录日志 (secure.log) ### Windows - 安全事件日志 (Event ID 4624 / 4625) ## 模拟的场景 ### 1. CPU 激增 通过指标检测到高 CPU 使用率 ### 2. 暴力破解尝试 在日志中发现多次失败的登录尝试 ### 3. 资源饱和 表明存在风险的高内存和磁盘使用率 ## 告警（模拟） 定义了基本的告警场景，用于模拟异常系统行为的检测。 ## 如何使用此实验室 1. 查看 exporters/ 中的指标 2. 识别异常值（CPU、内存、磁盘） 3. 导航到 logs/ 调查事件 4. 关联指标和日志以了解系统行为 ## 关联示例 CPU 使用率激增并结合反复失败的登录尝试可能表明： - 暴力破解攻击 - 未授权访问尝试 - 因恶意活动导致的系统压力 ## 我学到了什么 - 监控与可观测性之间的区别 - 关联指标和日志的重要性 - 基础设施中异常行为的检测 - 系统事件的安全影响 ## 安全视角 本项目突出了可观测性如何支持： - 威胁检测 - Incident（事件）调查 - 基础设施可见性 - 安全监控 ## 核心要点 可观测性不仅在于收集数据，更在于理解系统行为并检测跨基础设施层存在的风险。

标签：AIX 监控, API集成, BurpSuite集成, CPU 飙升分析, DevSecOps, Grafana, IT 运维, Linux 监控, SIEM 模拟, SSH 安全, Windows 监控, 上游代理, 免杀技术, 可观测性, 基础架构监控, 安全事件关联, 异常检测, 指标监控, 暴力破解检测, 混合企业环境, 监控与告警, 自定义请求头, 认证日志分析, 资源饱和监控, 跨平台监控