Ở bài trước thì các bạn đã biết được cách làm sao để cài đặt được snort lên trên máy centos của mình rồi. Để có thể quản lý được nhiều log từ snort thì ta không thể vào và đọc từng log bằng cách xem ở consol được. Ở bài này tôi sẽ hướng dẫn mọi người đẩy log của snort lên trên graylog-server để có thể xem dữ liệu dễ dàng hơn.

IP PLANING

Host nameIPDISKRAMCPU
graylog-server10.10.34.13120G1G1
client0110.10.34.13220G1G1

Mô hình

Thực hiện

Graylog-Server : Sẽ cài đặt log server. Nếu bạn chưa biết cài đặt thì hãy làm theo hướng dẫn cài đặt graylog server trên centos 7

Sau khi cài đặt được graylog server thì ta sẽ truy cập vào graylog server như đường dẫn ở bài hướng dẫn trên. Và đăng nhập với tài khoản admin đã được cài đặt

Kết quả của web interface graylog.

Sau khi cài đặt xong trên server ta sẽ thực hiện trên client01

Client01 : Máy client sẽ cài đặt snort để giám sát và phát hiện ra xâm nhập. Và có cài đặt thêm rule phát hiện gói ping ICMP để thử và kiểm tra. Nếu bạn chưa biết cài đặt hãy làm theo bài hướng dẫn cài đặt snort

Sau khi đã cài đặt xong snort thì ta sẽ cài đặt graylog sidecar để có thể đẩy log được từ client01 lên graylog server. Nếu như bạn chưa làm điều này bao giờ thì hãy đọc hướng dẫn cài đặt graylog sidecar trên centos 7

Nếu cài đặt thành công thì graylog server sẽ phát hiện ra client01 và hiển thị như sau trên web interface

Theo như mặc định thì file log của snort được ghi vào có đường dẫn là /var/log/snort/alert thì ta sẽ cài đặt để client01 sẽ đẩy file log này lên graylog server ta sẽ làm theo các bước dưới đây

đầu tiên ta sẽ vào để chỉnh sửa để client01 nhận đẩy file log lên graylog server
Ta thêm đường dẫn file log và update để được áp dụng cho client01

Sau khi cài đặt xong thì ta sẽ kiểm tra xem là client01 đã chính xác đẩy được log lên graylog server hay là chưa

Kịch bản :

  • Ta sẽ chạy command ping từ graylog server đến client01
  • Ta sẽ chạy command snort để client01 phát hiện ra gói tin ICMP
  • Trên web interface của graylog server ta sẽ đặt update 2s một lần để kiểm tra log của snort có được đẩy lên hay là không

Graylog server 

ping 10.10.34.132

Client01

snort -A full -q -u snort -g snort -c /etc/snort/snort.conf

Web interface graylog

Kết quả như ta đã thấy rằng log của snort đã liên tục được đẩy lên graylog server. Chúng ta đã hoàn thành bài này tại đây. Chúc các bạn thành công!