Mục Lục
I. Giới Thiệu
II. Cấu hình
I. Giới Thiệu
Bài viết này sẽ hướng dẫn cách để có thể cấu hình đẩy logs vào Log ServerBài Lab sử dụng 2 máy ảo:
- Ubuntu: Đóng vai trò là Log Server (Graylog)
- Kali: Máy gửi log
II. Cấu hình
Đầu tiên ta phải đảm bảo máy gửi logs và máy Log Server có thể giao tiếp được với nhau:- Máy gửi logs:
- Log Server:
1. Cài đặt inputs
- Trên máy Graylog chọn mục Systems => Inputs- Ở phần Select Input ta chọn loại input phù hợp => Launch new input
- Điền title tùy ý, bật store full message => Launch Input
- Cài đặt input thành công:
2. Cấu hình gửi logs về Graylog
Đảm bảo trên máy gửi logs đã cài đặt Rsyslog- Ta thêm 1 file cấu hình /etc/rsyslog.d/remote.conf
- Nội dung file : *.*@[GraylogIP]:514;RSYSLOG_SyslogProtocol23Format
- Lưu file và Restart lại Rsyslog:
- Bên máy Graylog đã xuất hiện message về việc máy kali đã setup thành công gửi logs đến Graylog:
3. Tìm hiểu cấu trúc câu lệnh Search Logs
- Ta có thể Search Logs theo cấu trúc tổng quát chung là: <field_name>:<value> AND/OR <field_name>:<value> ...
- Ví dụ muốn tìm theo mức độ log:
- Tìm kiếm log chứa từ khóa:
4. Tạo alert cơ bản
Trong Graylog vào Menu => Alerts => Event Definitions => Create Event Definition
- Tạo Alert về SSH sau đó next:
- Condition Type chọn Filter & Aggregation. Search Query: "Failed user ssh" => Next
- Chọn Create event definition:
- Hoàn tất:
- Ta thử tiến hành tấn công SSH vào máy Ubuntu và Alerts đã hiện thị:
- Alert & Event:
- Search:
Kết luận
Vậy là ta đã thành công cấu hình đẩy logs lên máy Log Server, đồng thời tìm hiểu về cấu trúc tổng quát chung của Search Log cũng như tạo thành công Alerts cơ bản bằng GrayLogBài viết liên quan
Được quan tâm
Bài viết mới