[Graylog] [LAB] [Phần 9] Cấu hình graylog gửi cảnh báo qua email

Là một System Admin bạn luôn phải lưu ý vấn đề bảo mật của hệ thống. Khi có hoạt động đăng nhập bất thường xảy ra, làm cách nào để bạn nhận biết được nó và rút ngắn thời gian kiểm tra nhanh nhất có thể? Nối tiếp chuỗi bài về Graylog, hôm nay Sandclock sẽ chia sẻ đến các bạn cách cấu hình graylog server để nhận cảnh báo SSH qua email.

1. Điều kiện

• Graylog server đã cài đặt Postfix để gửi mail. Nếu bạn chưa biết cách cài đặt Postfix trên Linux có thể tham khảo tại bài viết theo link
• Máy client01 đã cài đặt sidecar để đẩy log về graylog server.

2. Cấu hình

2.1 Cấu hình trên graylog server

• Mở file /etc/graylog/server/server.conf và thêm vào file nội dung sau

transport_email_enabled = true transport_email_hostname = smtp.gmail.com transport_email_port = 587 transport_email_use_auth = true transport_email_auth_username = [email protected] transport_email_auth_password = your_password transport_email_subject_prefix = [graylog] transport_email_from_email = [email protected] transport_email_use_tls = true transport_email_use_ssl = false

Chú ý: Bạn cần điền chính xác tài khoản mail của bạn và mật khẩu đăng nhập ở mục transport_email_auth_username, transport_email_from_email và transport_email_auth_password.

• Lưu thay đổi file và khởi động lại dịch vụ graylog-server

systemctl restart graylog-server

2.2 Cấu hình trên Web interface

• Click vào Alerts trên menu Graylog. Sau đó chọn Notifications

• Tiếp tục Chọn Get Started! để bắt đầu tạo thông báo

• Điền thông tin vào các trường như bên dưới

Lưu ý:

– Email recipient(s) là địa chỉ email để nhận mail cảnh báo.
– Có thể thay đổi nội dung cảnh báo trong phần Body Template.
– Thử cảnh báo bằng cách click Execute Test Notification. Nếu thấy thông báo Success tức là ta đã cấu hình đã thành công. Sau đó click Create để tạo.

• Tiếp theo cấu hình cho Event Definitions. Click Get Started! để bắt đầu định nghĩa một sự kiện.

• Đặt tên tiêu đề của event và viết mô tả sau đó chọn Next

• Ở bài trước ta đã grok pattern ra trường action_ssh nên ta có thể sử dụng nó để tạo SSH streams. Sau khi tạo xong ta sử dụng giá trị Failed của trường action_ssh để lấy các log message gửi về khi có đăng nhập thất bại.

• Tiếp tục điền các thông tin như bên dưới. Lưu ý ta sử dụng cả trường ip_ssh và user_ssh để lấy nó làm bộ lọc.

Ý nghĩa của cấu hình trên là: Tìm những message có chứa cụm từ Failed trong SSH streams. Mỗi 30s tìm 1 lần, nếu trong 5 phút mà tìm được nhiều hơn hoặc bằng 5 lần thì sẽ xuất thông báo (gửi cảnh báo qua mail).

• Tiếp tục tạo 2 trường có nội dung lần lượt như sau:

• Sau đó nhấn Next sang phần Notifications, nhấn Add Notication và thêm notication mà ta tạo lúc đầu, sau đó chọn Next.

• Tiếp tục chuyển sang phần Summary. Tại đây ta kiểm tra lại và nhấn Done để kết thúc cấu hình.

3. Test kết quả

Trên máy client01 thử đăng nhập sai 5 lần trong thời gian 5 phút và kiểm tra hộp thư đến trong email nhận cảnh báo mà ta cấu hình lúc đầu. Nếu kết quả như bên dưới tức là ta đã thành công.

Trên đây Sandclock đã chia sẻ đến bạn cách cấu hình graylog để nhận cảnh báo qua email. Bạn có thể tìm hiểu thêm để áp dụng và tự tạo nhiều cảnh báo về các hoạt động trong hệ thống của mình. Chúc các bạn thành công.

Sandclock IDC

Sandclock IDC thành lập vào năm 2012, là công ty chuyên nghiệp tại Việt Nam trong lĩnh vực cung cấp dịch vụ Hosting, VPS, máy chủ vật lý, dịch vụ Firewall Anti DDoS, SSL… Với 10 năm xây dựng và phát triển, ứng dụng nhiều công nghệ hiện đại, Sandclock IDC đã giúp hàng ngàn khách hàng tin tưởng lựa chọn, mang lại sự ổn định tuyệt đối cho website của khách hàng để thúc đẩy việc kinh doanh đạt được hiệu quả và thành công.