[Graylog] [LAB] [Phần 6] Cấu hình Dashboards SSH

30/12/2020

Các bạn chắc hẳn đã biết đến graylog từ các bài trước của chúng tôi. Nhưng ta cứ check mọi thứ theo message như thế rất là mệt mỏi với số lượng lớn. Ở đây tôi giới thiệu với bạn một chức năng mới được gọi là Dashboards của Graylog-server

1 . Mô hình

Mô hình lab được triển khai như sau

Mô hình ip phanning được triển khai như sau:

Bài toán: Khi mà ta phải quản lý rất nhiều máy cùng một lúc. Khi đó message đẩy về graylog-server sẽ rất là nhiều. Ví dụ với service sshd sẽ có rất nhiều IP và user được báo về. Graylog cung cấp cho chúng ta chức năng dashboards để tổng hợp nó lại. Ở bài này ta sẽ tổng hợp những dữ liệu sau:

  • Hiển thị số lần ssh failed và accepted của các IP trong 15 phút
  • Hiển thị số lần các user ssh failed và accepted trong 15 phút
  • Tổng số lần ssh trong 15 phút
  • Tổng số IP ssh tới trong 15 phút

2. Thực hiện

Tách bản tin ssh

Có rất nhiều cách để giúp ta tách bản tin ssh. Và tôi sẽ giới thiệu với các bạn một cách mà tôi cảm thấy dễ sử dụng đó là grok pattern.

Tách bản tin thành cách trường bạn muốn hoặc có thể sử dụng cái của tôi đã làm

%{WORD} %{INT} %{TIME} %{WORD:servername} %{WORD:app_name}[%{INT}]: %{WORD: action_ssh} password for %{WORD:user_ssh} from %{IPV4:ip_ssh}

Tạo Dashboards

Sau khi tạo xong dashboard thì ta hãy add thêm các trường hợp mà ta cần thiết vào đó để theo dõi

Hiển thị số lần các IP đăng nhập sai trong vòng 15 phút

Tương tự như vậy ta làm với các trường hợp tiếp theo.

Sandclock IDC thành lập vào năm 2012, là công ty chuyên nghiệp tại Việt Nam trong lĩnh vực cung cấp dịch vụ Hosting, VPS, máy chủ vật lý, dịch vụ Firewall Anti DDoS, SSL… Với 10 năm xây dựng và phát triển, ứng dụng nhiều công nghệ hiện đại, Sandclock IDC đã giúp hàng ngàn khách hàng tin tưởng lựa chọn, mang lại sự ổn định tuyệt đối cho website của khách hàng để thúc đẩy việc kinh doanh đạt được hiệu quả và thành công.
Bài viết liên quan

Script #4: Script cảnh báo file lạ trên server Linux (Detect Strange Files Script)

Việc các máy chủ bị hacker tấn công là việc thường xuyên xảy ra. Trong đó, có một lỗ hổng...
30/12/2020

Hướng dẫn gỡ bỏ plesk linux How to uninstall Plesk for Linux !

To remove Plesk from CentOS/RHEL-based distributions, follow these steps: Connect to a Plesk server via SSH. Run the following...
29/07/2021

[DirectAdmin] Hướng dẫn upload website lên Direct Admin (phần 3)

Direct Admin (DA) là công cụ để quản trị hosting tuyệt vời, trong các phần giới thiệu trước đây...
30/12/2020
Bài Viết

Bài Viết Mới Cập Nhật

Hướng dẫn chuyển đổi windows server windows evaluation to standard và active windows server 2008 + 2012 + 2016 + 2019
26/10/2021

How to Update Ubuntu Linux
24/10/2021

Squid Proxy Manager cài đặt và quản lý Proxy Squid tự động trên ubuntu
20/10/2021

Hướng dẫn cài đặt Apache CloudStack 4.15.2.0
19/10/2021

Hướng dẫn ký file PDF bằng chữ ký số (chữ ký điện tử) và sửa lỗi mới nhất 2021 foxit reader
19/10/2021