[Graylog] [LAB] [Phần 3] Thu thập log của linux thông qua syslog

Xin chào các bạn đã quay trở lại với loạt bài graylog của new.Onet.vn. Hôm nay mình cùng các bạn sẽ cấu hình và thu thập log tập trung về Graylog –server của linux thông qua syslog.

1 . Mô hình

Mô hình lab được triển khai như sau:

Mô hình ip phanning được triển khai như sau:

2 . Cài đặt

2.1 Thiết lập môi trường.

• Thiết lâp host name.

hostnamectl set-hostname client02 echo  "127.0.0.1 localhost client02" > /etc/hosts echo  "10.10.34.103 client02" >> /etc/hosts

• Tắt SElinux.

sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/sysconfig/selinux sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config 

• Khởi động lại hệ thống.

reboot

2.2 Cài đặt NTP

Ở bài trước ta đã tiến hành cài đặt NTP cho Graylog-server rồi nên bước này ta không cần cài nữa.

• Kiểm tra đồng bộ hóa thời gian với máy chủ ntp.

chronyc sources

• Kiểm tra thời gian trên hệ thống.

[root@client02 ~]# timedatectl       Local time: T3 2019-12-31 10:19:36 +07   Universal time: T3 2019-12-31 03:19:36 UTC         RTC time: T3 2019-12-31 04:27:06        Time zone: Asia/Ho_Chi_Minh (+07, +0700)      NTP enabled: yes NTP synchronized: yes  RTC in local TZ: no       DST active: n/a [root@client02 ~]# 

Nếu có kết quả như trên thì không cần cài đặt gì nữa.

2.3 Cấu hình trên client02.

Trên máy client ta sẽ khai báo cổng và địa ip của graylog-server.

echo '*.*  @10.10.34.101:1514;RSYSLOG_SyslogProtocol23Format' >> /etc/rsyslog.conf

Sau khi cấu hình ta phải nhớ port sử dụng để đẩy log.

Khởi động lại để nhận sử dụng cổng.

systemctl restart rsyslog

2.4 Cấu hình trên Web interface của graylog-server

Truy cập System/Inputs chọn input là Syslog TCP hoặc Syslog TCP và bấm Launch new input :

• Trong bước 2 bạn có thể chọn syslog qua UDP và TCP.

Tiếp theo ta cấu hình Input. Các bạn có thể tham khảo dưới đây. Bài này mình sử dụng UDP.

Trong đó :

• 1 là node của graylog-server.
• 2 là tên mình sẽ đặt cho Input đó.
• 3 là địa chi card nhận log.
• 4 là port là cổng mình đã cấu hình trên Client02.

Sau khi cấu hình xong ta lưu lại.

Sau khi lưu lại ta có một input như sau.

2.5 Kiểm tra kết quả.

Bạn click vào nút Show recevied messages.

Mình thử login sai SSH và truy cập web vào máy client02 ta thấy log đã có hiển thị trên màn hình.

Vậy là log đã đẩy về graylog-server thành công.

Chúc các bạn thành công.

Các bạn có thể tiếp tục theo dõi series về graylog tại new.cloud263.vn

ONET IDC

ONET IDC thành lập vào năm 2012, là công ty chuyên nghiệp tại Việt Nam trong lĩnh vực cung cấp dịch vụ Hosting, VPS, máy chủ vật lý, dịch vụ Firewall Anti DDoS, SSL… Với 10 năm xây dựng và phát triển, ứng dụng nhiều công nghệ hiện đại, ONET IDC đã giúp hàng ngàn khách hàng tin tưởng lựa chọn, mang lại sự ổn định tuyệt đối cho website của khách hàng để thúc đẩy việc kinh doanh đạt được hiệu quả và thành công.