[Graylog] [Phần 7] Sử dụng lookup tables

30/12/2020
Chưa phân loại

Lookup tables là một công cụ trên Graylog cho phép tra cứu/ánh xạ/sửa đổi giá trị trường message thành giá trị mới và ghi chúng vào một trường mới hoặc ghi đè lên trường cũ. Trong hướng dẫn này tôi sẽ sử dụng nó đề map những user ssh với tên đầy đủ của người dùng tương ứng.

Chuẩn bị

Graylog cần thu thập log ssh từ các client gửi về.

Sử dụng các công cụ để lấy được user ssh đến từ một bản tin SSH.

Cấu hình

Tách user từ bản tin ssh

Có nhiều cách để tách được user từ bản tin SSH thành một trường mới. Ở đây tôi dùng grok pattern.

Xác định bản tin log có chứa user

Chọn grok pattern

Tách message thành các trường

Bạn có thể sử dụng pattern phù hợp hoặc sử dụng như của tôi cho pattern ở khung dưới đây.

%{WORD} %{INT} %{TIME} %{WORD:servername} %{WORD:app_name}[%{INT}]: %{WORD: action_ssh} password for %{WORD:user_ssh} from %{IPV4:ip_ssh}

Click Try against example để xem thử kết quả

User ssh đã được tách thành trường user_ssh

Ta thấy đã có trường user ssh trong bản tin log ssh

Tạo lookup tables

Tạo data adapter

Data adapter được sử dụng để thực hiện tra cứu kết qủa cho một giá trị. Nó có thể đọc từ file CSV, kết nối với cơ sở dữ liệu hoặc thực hiện các request HTTP để nhận kết quả tra cứu.

Click Data Adapter -> Create data adapter

Chọn CSV File cho Data Adapter Type

Điền các thông tin

Click Create Adapter

Ta thấy có lỗi vì ta chưa tạo file CSV. Ta sẽ tạo file này ở bước sau

Tạo caches

Chọn Cache Type

Config cache

Tạo lookup tables

Khai báo thông tin. Data AdapterCache chọn giá trị vừa tạo ở bước trước.

Ta thấy vẫn có lỗi vì vẫn bị thiếu file CSV. Bây giờ chúng ta sẽ tiến hành tạo file này.

Tạo file CSV

Truy cập vào Graylog server để tạo file CSV

vi /etc/graylog/lookup-table.csv

Thêm nội dung thích hợp. File ví dụ của tôi có nội dung như sau

[root@graylog ~]# cat /etc/graylog/lookup-table.csv "user_ssh","full_name" "root","Quan tri vien" "anv","Nguyen Van A" "bnv","Nguyen Van B" 

Dòng đầu tiên khai báo KeyValue như khai báo Adapter

Tạo extractor

Quay trở lại bản tin SSH để tạo extractor

Cấu hình extractor

Trong đó:

  • Lookup Table là lookup table ta tạo ở trên
  • Store as field là tên của trường ta muốn lưu giá trị mới

Ta thấy extractor vừa tạo

Kiểm tra bản tin SSH ta đã thấy có trường full_name_login_ssh

ONET IDC thành lập vào năm 2012, là công ty chuyên nghiệp tại Việt Nam trong lĩnh vực cung cấp dịch vụ Hosting, VPS, máy chủ vật lý, dịch vụ Firewall Anti DDoS, SSL… Với 10 năm xây dựng và phát triển, ứng dụng nhiều công nghệ hiện đại, ONET IDC đã giúp hàng ngàn khách hàng tin tưởng lựa chọn, mang lại sự ổn định tuyệt đối cho website của khách hàng để thúc đẩy việc kinh doanh đạt được hiệu quả và thành công.
Bài viết liên quan

Dual Boot Ubuntu and Windows

For many people Windows is a very important operating system. Windows has programs that are very useful such as the Adobe...
29/12/2020

Install Google Chrome on Ubuntu 18.04 LTS

Google Chrome is a great web browser. It has a beautiful user interface (UI). It is fast and free to use. It is favored...
28/12/2020

Install Zabbix 4.0 on CentOS 7

Zabbix is an open source monitoring software. You can use Zabbix to monitor your servers, cloud services, virtual machines...
29/12/2020
Bài Viết

Bài Viết Mới Cập Nhật

Huớng dẫn dùng proxy cho ios, iphone 2023
23/09/2023

Cách gắn set proxy cho điện thoại android, oppo, giả lập android, Ldplayer Bằng Proxydroid
20/09/2023

Mua Proxy Socks5 VN Chơi Game Gia Lập Tăng Cường Trải Nghiệm Chơi Game
22/06/2023

Mua Proxy Mỹ, Us Nuôi Tài Khoản Etsy, eBay Tìm Hiểu Về Mua Proxy Mỹ tại Onet.com.vn
22/06/2023

Mua Proxy Game – Giải pháp tuyệt vời cho việc chơi game trên mạng mà không bị giới hạn về vị trí địa lý
03/06/2023