[Graylog] [LAB] [Phần 9] Cấu hình graylog gửi cảnh báo qua email

30/12/2020

Là một System Admin bạn luôn phải lưu ý vấn đề bảo mật của hệ thống. Khi có hoạt động đăng nhập bất thường xảy ra, làm cách nào để bạn nhận biết được nó và rút ngắn thời gian kiểm tra nhanh nhất có thể? Nối tiếp chuỗi bài về Graylog, hôm nay Onet sẽ chia sẻ đến các bạn cách cấu hình graylog server để nhận cảnh báo SSH qua email.

1. Điều kiện

  • Graylog server đã cài đặt Postfix để gửi mail. Nếu bạn chưa biết cách cài đặt Postfix trên Linux có thể tham khảo tại bài viết theo link
  • Máy client01 đã cài đặt sidecar để đẩy log về graylog server.

2. Cấu hình

2.1 Cấu hình trên graylog server

  • Mở file /etc/graylog/server/server.conf và thêm vào file nội dung sau
transport_email_enabled = true transport_email_hostname = smtp.gmail.com transport_email_port = 587 transport_email_use_auth = true transport_email_auth_username = [email protected] transport_email_auth_password = your_password transport_email_subject_prefix = [graylog] transport_email_from_email = [email protected] transport_email_use_tls = true transport_email_use_ssl = false

Chú ý: Bạn cần điền chính xác tài khoản mail của bạn và mật khẩu đăng nhập ở mục transport_email_auth_username, transport_email_from_emailtransport_email_auth_password.

  • Lưu thay đổi file và khởi động lại dịch vụ graylog-server
systemctl restart graylog-server

2.2 Cấu hình trên Web interface

  • Click vào Alerts trên menu Graylog. Sau đó chọn Notifications
  • Tiếp tục Chọn Get Started! để bắt đầu tạo thông báo
  • Điền thông tin vào các trường như bên dưới

Lưu ý:

Email recipient(s) là địa chỉ email để nhận mail cảnh báo.
– Có thể thay đổi nội dung cảnh báo trong phần Body Template.
– Thử cảnh báo bằng cách click Execute Test Notification. Nếu thấy thông báo Success tức là ta đã cấu hình đã thành công. Sau đó click Create để tạo.

  • Tiếp theo cấu hình cho Event Definitions. Click Get Started! để bắt đầu định nghĩa một sự kiện.
  • Đặt tên tiêu đề của event và viết mô tả sau đó chọn Next
  • Ở bài trước ta đã grok pattern ra trường action_ssh nên ta có thể sử dụng nó để tạo SSH streams. Sau khi tạo xong ta sử dụng giá trị Failed của trường action_ssh để lấy các log message gửi về khi có đăng nhập thất bại.
  • Tiếp tục điền các thông tin như bên dưới. Lưu ý ta sử dụng cả trường ip_sshuser_ssh để lấy nó làm bộ lọc.

Ý nghĩa của cấu hình trên là: Tìm những message có chứa cụm từ Failed trong SSH streams. Mỗi 30s tìm 1 lần, nếu trong 5 phút mà tìm được nhiều hơn hoặc bằng 5 lần thì sẽ xuất thông báo (gửi cảnh báo qua mail).

  • Tiếp tục tạo 2 trường có nội dung lần lượt như sau:
  • Sau đó nhấn Next sang phần Notifications, nhấn Add Notication và thêm notication mà ta tạo lúc đầu, sau đó chọn Next.
  • Tiếp tục chuyển sang phần Summary. Tại đây ta kiểm tra lại và nhấn Done để kết thúc cấu hình.

3. Test kết quả

Trên máy client01 thử đăng nhập sai 5 lần trong thời gian 5 phút và kiểm tra hộp thư đến trong email nhận cảnh báo mà ta cấu hình lúc đầu. Nếu kết quả như bên dưới tức là ta đã thành công.

Trên đây Onet đã chia sẻ đến bạn cách cấu hình graylog để nhận cảnh báo qua email. Bạn có thể tìm hiểu thêm để áp dụng và tự tạo nhiều cảnh báo về các hoạt động trong hệ thống của mình. Chúc các bạn thành công.

ONET IDC thành lập vào năm 2012, là công ty chuyên nghiệp tại Việt Nam trong lĩnh vực cung cấp dịch vụ Hosting, VPS, máy chủ vật lý, dịch vụ Firewall Anti DDoS, SSL… Với 10 năm xây dựng và phát triển, ứng dụng nhiều công nghệ hiện đại, ONET IDC đã giúp hàng ngàn khách hàng tin tưởng lựa chọn, mang lại sự ổn định tuyệt đối cho website của khách hàng để thúc đẩy việc kinh doanh đạt được hiệu quả và thành công.
Bài viết liên quan

[Event Viewer][Log] Theo dõi và phân tích Log của Remote Desktop trên Windows

Remote Desktop Activity Log là Nhật ký hoạt động của các kết nối Remote Desktop, ghi lại những hoạt...
30/12/2020

Cài đặt Vuls trên ubuntu 18.04

Khi sử dụng hệ điều hành thì ta thường xuyên cài đặt các gói và các ứng dụng. Làm sao để...
30/12/2020

Mẹo #1: Thống kê số lần truy cập của các IP vào website

Các tấn công DoS/DDoS bất ngờ vào trang web có thể gây ra thiệt hại với trang web của bạn. Ở bài...
30/12/2020
Bài Viết

Bài Viết Mới Cập Nhật

SỰ KHÁC BIỆT GIỮA RESIDENTIAL PROXY VÀ PROXY DATACENTER
17/02/2024

Mua Proxy v6 US Private chạy PRE, Face, Insta, Gmail
07/01/2024

Mua shadowsocks và hướng dẫn sữ dụng trên window
05/01/2024

Tại sao Proxy Socks lại được ưa chuộng hơn Proxy HTTP?
04/01/2024

Mua thuê proxy v4 nuôi zalo chất lượng cao, kinh nghiệm tránh quét tài khoản zalo
02/01/2024