SIEM/Log Management [SIEM/Logs Management]-[Lab03]: Tạo Dashboard và gửi Alerts qua Gmail

Mục Lục​

I. Giới Thiệu​

II. Tạo Dashboard​

III. Gửi Alerts qua Gmail​

---

I. Giới Thiệu​

Trong bài viết này, mình sẽ hướng dẫn cách tạo Dashboard trực quan để hiển thị thông tin hệ thống theo thời gian thực, đồng thời cấu hình gửi cảnh báo (Alert) qua Email – một tính năng quan trọng để đảm bảo phản ứng kịp thời khi có sự cố xảy ra. Đây là các bước thiết yếu giúp nâng cao khả năng giám sát và bảo mật trong môi trường làm việc thực tế.

II. Tạo Dashboard​

1. Tách bản tin SSH​

- Đầu tiên ta tìm message có liên quan đến tấn công SSH => bấm chọn message đó và chọn Create extractor để tách message SSH:

- Chọn extractor type là Grok Pattern:

- Chèn Grok Pattern:
Failed password for invalid user %{USERNAME:username} from %{IP:src_ip} port %{NUMBER:src_port} %{WORDrotocol}
để trích xuất thông tin

- Khi search Application_name: sshd nó hiện thị các message liên quan đến tấn công ssh => Tách thành công

2. Tạo Dashboard​

- Để tạo Dashboard đầu tiên vào Search tìm kiếm application_name: sshd. Nhấp vào message liên quan đến ssh được lọc ra => Chọn field application_name => Chọn show top values

- Chọn action và chọn Copy to Dashboard:

- Chọn Dashboard mà bạn đã Create => Copy widget:

Nó sẽ hiển thị Dashboard:

Vậy là hoàn thành tạo 1 Dashboard cơ bản

II. Gửi Alerts qua Gmail​

1. Cấu hình trên Graylog server​

- Đầu tiên mở file /etc/graylog/server/server.conf sau đó tìm phần email transport

Chỉnh sửa nội dung nó thành như sau, nhập tài khoản gmail và password gmail của bạn:

Lưu file và restart lại Graylog Server.

2. Cấu hình trên Web interface​

Vào Alerts => Notification => new Notification sau đó điền thông tin:

Chọn Execute Test Notification:

Nếu Graylog gửi email test qua gmail bạn đã thiết lập, vậy thì đã config thành công:

Kết luận​

Vậy là chúng ta đã tạo Dashboard và cấu hình gửi alert qua Email hoàn tất. Việc cấu hình Dashboard giúp bạn tùy biến giao diện giám sát phù hợp với nhu cầu, trong khi cảnh báo qua Email giúp bạn chủ động phát hiện và xử lý sự cố ngay khi phát sinh. Khi được thiết lập đúng cách, Graylog trở thành một trung tâm cảnh báo đáng tin cậy, giúp hệ thống luôn nằm trong tầm kiểm soát. Hy vọng hướng dẫn này sẽ giúp bạn triển khai hiệu quả hơn trong thực tế.