[Graylog] [LAB] [Phần 9] Cấu hình graylog gửi cảnh báo qua email

30/12/2020

Là một System Admin bạn luôn phải lưu ý vấn đề bảo mật của hệ thống. Khi có hoạt động đăng nhập bất thường xảy ra, làm cách nào để bạn nhận biết được nó và rút ngắn thời gian kiểm tra nhanh nhất có thể? Nối tiếp chuỗi bài về Graylog, hôm nay Sandclock sẽ chia sẻ đến các bạn cách cấu hình graylog server để nhận cảnh báo SSH qua email.

1. Điều kiện

  • Graylog server đã cài đặt Postfix để gửi mail. Nếu bạn chưa biết cách cài đặt Postfix trên Linux có thể tham khảo tại bài viết theo link
  • Máy client01 đã cài đặt sidecar để đẩy log về graylog server.

2. Cấu hình

2.1 Cấu hình trên graylog server

  • Mở file /etc/graylog/server/server.conf và thêm vào file nội dung sau
transport_email_enabled = true transport_email_hostname = smtp.gmail.com transport_email_port = 587 transport_email_use_auth = true transport_email_auth_username = [email protected] transport_email_auth_password = your_password transport_email_subject_prefix = [graylog] transport_email_from_email = [email protected] transport_email_use_tls = true transport_email_use_ssl = false

Chú ý: Bạn cần điền chính xác tài khoản mail của bạn và mật khẩu đăng nhập ở mục transport_email_auth_username, transport_email_from_emailtransport_email_auth_password.

  • Lưu thay đổi file và khởi động lại dịch vụ graylog-server
systemctl restart graylog-server

2.2 Cấu hình trên Web interface

  • Click vào Alerts trên menu Graylog. Sau đó chọn Notifications
  • Tiếp tục Chọn Get Started! để bắt đầu tạo thông báo
  • Điền thông tin vào các trường như bên dưới

Lưu ý:

Email recipient(s) là địa chỉ email để nhận mail cảnh báo.
– Có thể thay đổi nội dung cảnh báo trong phần Body Template.
– Thử cảnh báo bằng cách click Execute Test Notification. Nếu thấy thông báo Success tức là ta đã cấu hình đã thành công. Sau đó click Create để tạo.

  • Tiếp theo cấu hình cho Event Definitions. Click Get Started! để bắt đầu định nghĩa một sự kiện.
  • Đặt tên tiêu đề của event và viết mô tả sau đó chọn Next
  • Ở bài trước ta đã grok pattern ra trường action_ssh nên ta có thể sử dụng nó để tạo SSH streams. Sau khi tạo xong ta sử dụng giá trị Failed của trường action_ssh để lấy các log message gửi về khi có đăng nhập thất bại.
  • Tiếp tục điền các thông tin như bên dưới. Lưu ý ta sử dụng cả trường ip_sshuser_ssh để lấy nó làm bộ lọc.

Ý nghĩa của cấu hình trên là: Tìm những message có chứa cụm từ Failed trong SSH streams. Mỗi 30s tìm 1 lần, nếu trong 5 phút mà tìm được nhiều hơn hoặc bằng 5 lần thì sẽ xuất thông báo (gửi cảnh báo qua mail).

  • Tiếp tục tạo 2 trường có nội dung lần lượt như sau:
  • Sau đó nhấn Next sang phần Notifications, nhấn Add Notication và thêm notication mà ta tạo lúc đầu, sau đó chọn Next.
  • Tiếp tục chuyển sang phần Summary. Tại đây ta kiểm tra lại và nhấn Done để kết thúc cấu hình.

3. Test kết quả

Trên máy client01 thử đăng nhập sai 5 lần trong thời gian 5 phút và kiểm tra hộp thư đến trong email nhận cảnh báo mà ta cấu hình lúc đầu. Nếu kết quả như bên dưới tức là ta đã thành công.

Trên đây Sandclock đã chia sẻ đến bạn cách cấu hình graylog để nhận cảnh báo qua email. Bạn có thể tìm hiểu thêm để áp dụng và tự tạo nhiều cảnh báo về các hoạt động trong hệ thống của mình. Chúc các bạn thành công.

Sandclock IDC thành lập vào năm 2012, là công ty chuyên nghiệp tại Việt Nam trong lĩnh vực cung cấp dịch vụ Hosting, VPS, máy chủ vật lý, dịch vụ Firewall Anti DDoS, SSL… Với 10 năm xây dựng và phát triển, ứng dụng nhiều công nghệ hiện đại, Sandclock IDC đã giúp hàng ngàn khách hàng tin tưởng lựa chọn, mang lại sự ổn định tuyệt đối cho website của khách hàng để thúc đẩy việc kinh doanh đạt được hiệu quả và thành công.
Bài viết liên quan

Jitsi [Part 5] – Hướng dẫn tích hợp Jitsi LDAP

Mặc định, Jitsi cho phép bất cứ ai cũng có thể sử dụng. Vậy nếu bạn là một tổ chức, một...
30/12/2020

Hướng dẫn cài đặt LEMP stack trên Ubuntu 20.04 LTS

LEMP là một nhóm các phần mềm có thể dùng để phục vụ các trang web động và các ứng dụng...
30/12/2020

Chronyd dịch vụ thay thế NTPD trên Unix

Chronyd đang được đánh giá là lựa chọn tối ưu hơn NTPD để đồng bộ thời gian  trên Unix...
30/12/2020
Bài Viết

Bài Viết Mới Cập Nhật

Hướng dẫn chuyển đổi windows server windows evaluation to standard và active windows server 2008 + 2012 + 2016 + 2019
26/10/2021

How to Update Ubuntu Linux
24/10/2021

Squid Proxy Manager cài đặt và quản lý Proxy Squid tự động trên ubuntu
20/10/2021

Hướng dẫn cài đặt Apache CloudStack 4.15.2.0
19/10/2021

Hướng dẫn ký file PDF bằng chữ ký số (chữ ký điện tử) và sửa lỗi mới nhất 2021 foxit reader
19/10/2021