Chắc là mọi người đã biết đến Slack nơi tạo ra một room chat để mọi người có thể chia sẻ và trao đổi với nhau về nhiều thứ. Ở bài trước chúng tôi đã nói đến việc cảnh báo đến telegram trong khi sử dụng graylog-server. Thì bài này chúng tôi lại tiếp tục hướng dẫn các bạn một ứng dụng nữa để có thể cảnh báo tới đó là Slack.

Có lẽ bạn là một người đã sử dụng qua slack và muốn quan tâm đến vấn đề làm sao có thể theo dõi được graylog-server của mình trên đó. Còn nếu bạn chưa sử dụng qua slack bao giờ và muốn học về việc làm sao cảnh báo được tới slack thì hãy tạo một tài khoản slack nhé. Và ở bài này sẽ như bài trước ta sẽ cài đặt client và đẩy log SSH lên graylog-server.

Kịch bản

  1. Chúng ta sẽ tạo tài khoảng trên slack và tạo room. Cài đặt webhook
  2. Cài đặt plugin cho graylog-server
  3. Tạo alerts cho graylog-server bằng web-interface
  4. Kiểm tra lại kết quả

Thực hiện

1.Cài đặt webhook

Các bạn đã tạo được một tài khoản slack rồi hãy làm theo các bước dưới đây

hãy bấm vào đây và để tạo ra một room riêng của mình để cảnh báo
Hãy bấm vào đây để cài dặt webhook. webhook là một ứng dụng dúng ta có thể gửi các message vào và ra ngoài slack
Có hai loại webhook. một là được sử dụng để gửi vào một là được sử dụng để gửi ra ở bài này ta sử dụng cài đầu để gửi message từ ngoài vào slack
chọn kênh để tạo ra URL
Lưu lại URL và bấm lưu

2. Cài đặt plugin cho server

Ta có thể tìm link download plugin tại đây. Ta sẽ thực hiện các bước dưới đây trên graylog-server dưới quyền root 

cd
cd /usr/share/graylog-server/plugin/
wget https://github.com/graylog-labs/graylog-plugin-slack/releases/download/3.1.0/graylog-plugin-slack-3.1.0.jar

Kiểm tra gói đã download về 

[root@graylogsv plugin]# ls
graylog-plugin-aws-3.1.4.jar        graylog-plugin-threatintel-3.1.4.jar
graylog-plugin-collector-3.1.4.jar  telegram-alert-2.2.0.jar
graylog-plugin-slack-3.1.0.jar

Khởi động lại dịch vụ 

systemctl restart graylog-server

3. Tạo alerts trên web-interface

Ta tạo ra một thông báo mới để gửi tin về slack
Điều những thông tin về tên và miêu tả rõ ràng
Chọn kênh để báo về. Và điều URL mà ta đã lưu ý ở trên khi cài đặt webhook
Điều graylog URL và kiểm tra xem đã gửi tin được đến slack hay là chưa
Tạo ra sự kiện (điều kiện) để có thể sử dụng cảnh báo trên
Ta viết tên và mức độ ưu tiên của sự kiện này
Sử dụng bộ lọc với stream nào. và với trường dữ liệu nào
Ta sẽ kiểm tra trong vòng 1 phút. Và kiểm tra mỗi 30s một lần
Đây là điều kiện. Nếu 1 phút đó có tổng IP đăng nhập thành công hơn 1 lần sẽ cảnh báo. Có nghĩa ở đây là cứ đăng nhập thành công là có cảnh báo
Sử dụng cảnh báo nào cho sự kiện này. Tất nhiên là cảnh báo tới slack rồi!!!
Xem lại tổng quan và nhấn DONE

4. Kiểm tra lại

Ta sẽ SSH tới chúng các client bằng lệnh 

anhduc@anhduc:~$ ssh root@10.10.34.126
root@10.10.34.126's password: 
Last login: Thu Feb 27 16:07:59 2020 from gateway
[root@suricata ~]#
Chúng ta kiểm tra trên web-interface xem đã có log chưa
Và rồi kiểm tra trên slack của riêng mình.

Chúc các bạn thành công nhé !!!