Axoflow Zero to Hero: Truyền dữ liệu bảo mật mọi lúc mọi nơi

Jun 12, 2025 | Bài viết, Tin tức, Tin tức Sự kiện, Uncategorized @vi | 0 comments

This post is also available in: English

Hôm nay, chúng tôi sẽ hướng dẫn bạn cách trở thành “người hùng” bằng cách kết nối các máy móc và ghi log dữ liệu vào công cụ phân tích mà bạn lựa chọn – tất cả chỉ trong vòng chưa đầy 12 phút với nền tảng Axoflow.

 

Bạn sẽ cần gì

Để làm theo các bước trong video, bạn sẽ cần:

  • Một máy ảo (virtual machine)

  • Quyền truy cập dùng thử Axoflow. Bạn có thể gửi yêu cầu dùng thử – chúng tôi sẽ thiết lập cho bạn trong vòng một ngày làm việc.

  • Quyền truy cập vào Splunk và một token để gửi dữ liệu đến Splunk, hoặc một điểm đích khác được Axoflow hỗ trợ.

Cài đặt AxoRouter

Bước đầu tiên để kiểm thử Axoflow Console là cài đặt AxoRouter. AxoRouter là giải pháp xử lý dữ liệu bảo mật, tự động thu thập, tổng hợp, chuyển đổi và định tuyến nhiều loại dữ liệu bảo mật – với quy mô lớn, đạt chuẩn carrier-grade.

  1. Mở Axoflow Console, chọn trang Provisioning.

  2. Nhấp vào Select type and platform > AxoRouter > Linux > Copy and close.

  3. Mở terminal trên máy ảo (VM), sau đó dán lệnh cài đặt vừa sao chép.

  4. Tải lại trang Provisioning. Bản triển khai AxoRouter mới sẽ xuất hiện.

  5. Nhấp vào biểu tượng dấu kiểm (✔).

  6. Đặt nhãn tùy chỉnh (custom label) cho AxoRouter của bạn để dễ nhận biết đội nhóm nào đang sử dụng, rồi nhấn Register.

Sau khi bạn đăng ký triển khai AxoRouter, bạn có thể xem hệ điều hành mà mình đang sử dụng, cùng với một số thông tin chi tiết khác về máy chủ.

Gửi dữ liệu đến AxoRouter

If you have a data source handy, configure it to send logs to AxoRouter. If you don’t, open a terminal on your VM running AxoRouter, and run the following command to generate some synthetic data.

Note that AxoRouter collects detailed, real-time metrics about the data-flows – giving you observability over the health of the security data pipeline and its components. Your security data remains in your self-managed cloud or in your on-prem instance where your sources, destinations, and AxoRouters are running, only metrics are forwarded to Axoflow Console.

Nếu bạn đã có nguồn dữ liệu sẵn, hãy cấu hình để gửi log đến AxoRouter. Nếu chưa có, hãy mở terminal trên máy ảo đang chạy AxoRouter và chạy lệnh sau để tạo dữ liệu giả lập (synthetic data).

Lưu ý rằng AxoRouter thu thập các chỉ số chi tiết theo thời gian thực về luồng dữ liệu – giúp bạn quan sát được tình trạng của pipeline dữ liệu bảo mật và các thành phần bên trong. Dữ liệu bảo mật của bạn sẽ luôn nằm trong hệ thống đám mây do bạn quản lý hoặc hệ thống tại chỗ (on-prem) – nơi đặt nguồn gửi, đích nhận và AxoRouter. Chỉ các chỉ số (metrics) mới được gửi về Axoflow Console.

for i in `seq 1 120`; do echo "<165> fortigate date=$(date -u +%Y-%m-%d) time=$(date -u +"%H:%M:%S%Z") devname=us-east-1-dc1-a-dmz-fw devid=FGT60D4614044725 logid=0100040704 type=event subtype=system level=notice vd=root logdesc=\"System performance statistics\" action=\"perf-stats\" cpu=2 mem=35 totalsession=61 disk=2 bandwidth=158/138 setuprate=2 disklograte=0 fazlograte=0 msg=\"Performance statistics: average CPU: 2, memory: 35, concurrent sessions: 61, setup-rate: 2\""; sleep 0.5; echo "<165>  id=us-west-1-dc1-a-dmz-fw sn=C0EFE3336C80 time=\"$(date -u +"%Y-%m-%d %H:%M:%S %Z")\" fw=192.168.1.239 pri=6 c=1024 gcat=6 m=537 msg=\"Connection Closed\" srcMac=00:50:56:f5:50:27 src=10.237.228.74:54406:X20 srcZone=Trusted natSrc=192.168.1.239:38377 dstMac=00:1a:f0:8b:e0:18 dst=44.190.129.212:123:X2 dstZone=Untrusted natDst=44.190.129.212:123 proto=udp/ntp sent=152 rcvd=152 spkt=2 rpkt=2 cdur=30250 rule=\"22 (LAN->WAN)\" n=490872197 fw_action=\"NA\" dpi=0"; sleep 0.5; echo "<165>$(date -u +"%b%e %H:%M:%S") us-east-1-dc1-b-edge-fw 1,$(date -u +"%Y/%m/%d %H:%M:%S"),007200001056,TRAFFIC,end,1,$(date -u +"%Y/%m/%d %H:%M:%S"),192.168.41.30,192.168.41.255,10.193.16.193,192.168.41.255,allow-all,,,netbios-ns,vsys1,Trust,Untrust,ethernet1/1,ethernet1/2,To-Panorama,$(date -u +"%Y/%m/%d %H:%M:%S"),8720,1,137,137,11637,137,0x400000,udp,allow,276,276,0,3,$(date -u +"%Y/%m/%d %H:%M:%S"),2,any,0,2800265,0x0,192.168.0.0-192.168.255.255,192.168.0.0-192.168.255.255,0,3,0"; sleep 0.5; done | nc -v 127.0.0.1 514

Chờ vài giây để các chỉ số có thời gian được thu thập.

Kiểm tra dữ liệu phân tích

Chọn Analytics (Nếu bạn đã điều hướng sang trang khác, hãy chọn lại: Topology > your-AxoRouter trước.)

Nếu AxoRouter của bạn đang nhận dữ liệu, một số chỉ số (metrics) sẽ bắt đầu hiển thị. AxoRouter sẽ tự động phân loại và phân tích dữ liệu đến, đồng thời gán nhãn nhà cung cấp (vendor) và sản phẩm cho các dữ liệu mà nó nhận diện được.

Một điểm thú vị là có rất nhiều chỉ số được thu thập ngay bên trong AxoRouter, tại chính thành phần thu thập dữ liệu. Quan trọng nhất, bạn sẽ thấy AxoRouter phát hiện được sản phẩm nào đang gửi tập dữ liệu cụ thể này.

Nếu bạn chuyển lại tab Overview, bạn sẽ thấy Axoflow hiển thị cảnh báo cho AxoRouter này, vì chưa có luồng dữ liệu (flow) nào được cấu hình: hiện tại chúng ta chỉ đang thu thập dữ liệu, nhưng chưa gửi chúng đi đâu cả. Hãy khắc phục điều đó bằng cách tạo một điểm đích (destination)

Tạo điểm đích (Destination)

Tạo một điểm đích Splunk. Nếu bạn không muốn sử dụng Splunk, có thể chọn một điểm đích khác được Axoflow hỗ trợ.

  1. Chọn Topology > + > Destination > Splunk.

  2. Nhập các thông tin cần thiết. Bạn sẽ cần URL của hệ thống Splunk và một access token cho phép gửi dữ liệu (bạn có thể lấy các thông tin này từ quản trị viên Splunk).

  3. Nhấn Create để tạo.

Tạo luồng (Flow)

Tạo một luồng để định tuyến dữ liệu mà AxoRouter nhận được tới điểm đích Splunk của bạn.

  1. Chọn Flows > Create New Flow.

  2. Nhập tên cho luồng.

  3. Trong trường Router Selector, chọn tên AxoRouter của bạn.

  4. Thiết lập trường Destination là điểm đích Splunk, sau đó nhấn Create.

Thêm nguồn dữ liệu (Source)

Khi bạn quay lại trang Topology, bạn sẽ thấy có kết nối giữa AxoRouter và điểm đích của bạn.
Để hiển thị các nguồn dữ liệu, hãy đăng ký các nguồn đang gửi dữ liệu đến AxoRouter.

  1. Chọn Topology > + > Source > Detected. Danh sách các nguồn hiện đang gửi dữ liệu và đã được AxoRouter tự động nhận diện sẽ được hiển thị.

Lưu ý:
Nếu bạn không có các máy chủ nguồn riêng biệt và đang gửi dữ liệu bằng script ở trên, thì chỉ một nguồn sẽ được phát hiện – vì tất cả dữ liệu đến từ cùng một địa chỉ IP. Tuy nhiên, AxoRouter sẽ hiển thị thành ba máy chủ khác nhau và ba loại nguồn khác nhau, vì nó phân loại các thông điệp đến dựa trên nội dung.

  1. Chọn một nguồn, sau đó (nếu muốn) thêm nhãn tùy chỉnh để dễ quản lý.

Khi mọi thứ đã được thiết lập, nguồn và các chỉ số liên quan đến dữ liệu mà nó gửi sẽ hiển thị trên trang Topology. Vì vậy, ngoài các phân tích chuyên sâu, bạn còn có cái nhìn tổng quan về hoạt động ở cấp độ topology.

Kiểm tra chỉ số đầu ra (Output Metrics)

Cùng kiểm tra các sự kiện đầu ra:

Nhấp vào AxoRouter của bạn, chọn Analytics, sau đó chuyển từ Input events sang Output events.

Giờ đây, khi AxoRouter đã nhận dữ liệu từ một nguồn và có điểm đích để chuyển tiếp, bạn sẽ thấy các chỉ số đầu ra cũng bắt đầu được hiển thị. Ngoài các chỉ số đã thu thập trước đó như cổng đích (destination port)giao thức truyền (transport), giờ bạn sẽ thấy thêm một chiều dữ liệu mới là Splunk source type. Vì bạn đã chọn Splunk làm điểm đích, Axoflow sẽ tự động gán đúng giá trị cho source type.

Ví dụ, bạn có thể sử dụng các nhãn (labels) để kiểm tra cách lưu lượng được phân bổ theo splunk_sourcetype, hoặc dữ liệu được gửi đến index nào thông qua nhãn splunk_index.

Bây giờ, hãy truy cập vào Splunk và xem dữ liệu trông như thế nào nhé

Kiểm tra dữ liệu trong Splunk

Vì AxoRouter đã xử lý việc phân tích cú pháp (parsing), phân loại và gửi dữ liệu đến Splunk, bạn không cần cấu hình thêm gì trong Splunk: không cần cài đặt công nghệ add-on hay viết parser thủ công. Bạn có thể sử dụng trực tiếp dữ liệu có cấu trúc và metadata mà AxoRouter cung cấp để phân tích, tạo biểu đồ, báo cáo và rút ra các thông tin giá trị.

Tóm tắt

Nếu bạn đã làm theo hướng dẫn trong blog này (hoặc video liên quan), thì giờ đây bạn đã có dữ liệu hữu ích trong công cụ phân tích của mình. Chúng ta chỉ mất chưa đến 12 phút để hoàn thành tất cả các bước – và hoàn toàn không cần viết một dòng regular expression nào.

 

Về DT Asia

DT Asia được thành lập năm 2007 với sứ mệnh đưa các giải pháp bảo mật CNTT tiên phong khác nhau từ Hoa Kỳ, Châu Âu và Israel gia nhập thị trường.

Hiện tại, DT Asia đã là một nhà phân phối giá trị gia tăng trong khu vực đối với các giải pháp an ninh mạng, cung cấp công nghệ tiên tiến cho các tổ chức chính phủ trọng yếu cũng như các khách hàng tư nhân lớn bao gồm các ngân hàng toàn cầu và các công ty trong danh sách Fortune 500. Với các văn phòng và đối tác rộng khắp trong khu vực Châu Á Thái Bình Dương, chúng tôi hiểu rõ hơn về thị trường và từ đó mang đến những giải pháp bản địa hóa phù hợp với từng quốc gia, từng tổ chức.

 

Cách chúng tôi giúp bạn

Nếu bạn muốn biết thêm Axoflow Zero to Hero: Truyền dữ liệu bảo mật mọi lúc mọi nơi, bạn đang ở đúng nơi, chúng tôi sẵn sàng giúp đỡ! DT Asia là nhà phân phối của Axoflow, đặc biệt tại Việt Nam và châu Á, các kỹ thuật viên của chúng tôi có kinh nghiệm sâu rộng về sản phẩm và các công nghệ liên quan mà bạn luôn có thể tin tưởng. Chúng tôi cung cấp các giải pháp trọn gói cho sản phẩm này, bao gồm tư vấn, triển khai và dịch vụ bảo trì.

Để biết thêm thông tin chi tiết và được hỗ trợ, vui lòng truy cập: https://dtasiagroup.com/axoflow/