Các bạn chắc hẳn đã biết đến graylog từ các bài trước của chúng tôi. Nhưng ta cứ check mọi thứ theo message như thế rất là mệt mỏi với số lượng lớn. Ở đây tôi giới thiệu với bạn một chức năng mới được gọi là Dashboards của Graylog-server
1 . Mô hình
Mô hình lab được triển khai như sau
Mô hình ip phanning được triển khai như sau:
Bài toán: Khi mà ta phải quản lý rất nhiều máy cùng một lúc. Khi đó message đẩy về graylog-server sẽ rất là nhiều. Ví dụ với service sshd sẽ có rất nhiều IP và user được báo về. Graylog cung cấp cho chúng ta chức năng dashboards để tổng hợp nó lại. Ở bài này ta sẽ tổng hợp những dữ liệu sau:
- Hiển thị số lần ssh failed và accepted của các IP trong 15 phút
- Hiển thị số lần các user ssh failed và accepted trong 15 phút
- Tổng số lần ssh trong 15 phút
- Tổng số IP ssh tới trong 15 phút
2. Thực hiện
Tách bản tin ssh
Có rất nhiều cách để giúp ta tách bản tin ssh. Và tôi sẽ giới thiệu với các bạn một cách mà tôi cảm thấy dễ sử dụng đó là grok pattern.
Tách bản tin thành cách trường bạn muốn hoặc có thể sử dụng cái của tôi đã làm
%{WORD} %{INT} %{TIME} %{WORD:servername} %{WORD:app_name}\[%{INT}\]\: %{WORD: action_ssh} password for %{WORD:user_ssh} from %{IPV4:ip_ssh}
Tạo Dashboards
Sau khi tạo xong dashboard thì ta hãy add thêm các trường hợp mà ta cần thiết vào đó để theo dõi
Hiển thị số lần các IP đăng nhập sai trong vòng 15 phút
Tương tự như vậy ta làm với các trường hợp tiếp theo.
Leave a Reply