Xin chào các bạn đã quay trở lại với loạt bài graylog của new.Onet.vn. Hôm nay mình cùng các bạn sẽ cấu hình và thu thập log tập trung về Graylog –server của linux thông qua syslog.
1 . Mô hình
Mô hình lab được triển khai như sau:
Mô hình ip phanning được triển khai như sau:
2 . Cài đặt
2.1 Thiết lập môi trường.
- Thiết lâp host name.
hostnamectl set-hostname client02 echo "127.0.0.1 localhost client02" > /etc/hosts echo "10.10.34.103 client02" >> /etc/hosts
- Tắt SElinux.
sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/sysconfig/selinux sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config
- Khởi động lại hệ thống.
reboot
2.2 Cài đặt NTP
Ở bài trước ta đã tiến hành cài đặt NTP cho Graylog-server rồi nên bước này ta không cần cài nữa.
- Kiểm tra đồng bộ hóa thời gian với máy chủ ntp.
chronyc sources
- Kiểm tra thời gian trên hệ thống.
[root@client02 ~]# timedatectl Local time: T3 2019-12-31 10:19:36 +07 Universal time: T3 2019-12-31 03:19:36 UTC RTC time: T3 2019-12-31 04:27:06 Time zone: Asia/Ho_Chi_Minh (+07, +0700) NTP enabled: yes NTP synchronized: yes RTC in local TZ: no DST active: n/a [root@client02 ~]#
Nếu có kết quả như trên thì không cần cài đặt gì nữa.
2.3 Cấu hình trên client02.
Trên máy client ta sẽ khai báo cổng và địa ip của graylog-server.
echo '*.* @10.10.34.101:1514;RSYSLOG_SyslogProtocol23Format' >> /etc/rsyslog.conf
Sau khi cấu hình ta phải nhớ port sử dụng để đẩy log.
Khởi động lại để nhận sử dụng cổng.
systemctl restart rsyslog
2.4 Cấu hình trên Web interface của graylog-server
Truy cập System/Inputs
chọn input là Syslog TCP
hoặc Syslog TCP
và bấm Launch new input
:
- Trong bước 2 bạn có thể chọn syslog qua UDP và TCP.
Tiếp theo ta cấu hình Input. Các bạn có thể tham khảo dưới đây. Bài này mình sử dụng UDP.
Trong đó :
- 1 là node của graylog-server.
- 2 là tên mình sẽ đặt cho Input đó.
- 3 là địa chi card nhận log.
- 4 là port là cổng mình đã cấu hình trên Client02.
Sau khi cấu hình xong ta lưu lại.
Sau khi lưu lại ta có một input như sau.
2.5 Kiểm tra kết quả.
Bạn click vào nút Show recevied messages.
Mình thử login sai SSH và truy cập web vào máy client02 ta thấy log đã có hiển thị trên màn hình.
Vậy là log đã đẩy về graylog-server thành công.
Chúc các bạn thành công.
Các bạn có thể tiếp tục theo dõi series về graylog tại new.cloud263.vn