[Graylog] [Phần 7] Sử dụng lookup tables

30/12/2020
Chưa phân loại

Lookup tables là một công cụ trên Graylog cho phép tra cứu/ánh xạ/sửa đổi giá trị trường message thành giá trị mới và ghi chúng vào một trường mới hoặc ghi đè lên trường cũ. Trong hướng dẫn này tôi sẽ sử dụng nó đề map những user ssh với tên đầy đủ của người dùng tương ứng.

Chuẩn bị

Graylog cần thu thập log ssh từ các client gửi về.

Sử dụng các công cụ để lấy được user ssh đến từ một bản tin SSH.

Cấu hình

Tách user từ bản tin ssh

Có nhiều cách để tách được user từ bản tin SSH thành một trường mới. Ở đây tôi dùng grok pattern.

Xác định bản tin log có chứa user

Chọn grok pattern

Tách message thành các trường

Bạn có thể sử dụng pattern phù hợp hoặc sử dụng như của tôi cho pattern ở khung dưới đây.

%{WORD} %{INT} %{TIME} %{WORD:servername} %{WORD:app_name}[%{INT}]: %{WORD: action_ssh} password for %{WORD:user_ssh} from %{IPV4:ip_ssh}

Click Try against example để xem thử kết quả

User ssh đã được tách thành trường user_ssh

Ta thấy đã có trường user ssh trong bản tin log ssh

Tạo lookup tables

Tạo data adapter

Data adapter được sử dụng để thực hiện tra cứu kết qủa cho một giá trị. Nó có thể đọc từ file CSV, kết nối với cơ sở dữ liệu hoặc thực hiện các request HTTP để nhận kết quả tra cứu.

Click Data Adapter -> Create data adapter

Chọn CSV File cho Data Adapter Type

Điền các thông tin

Click Create Adapter

Ta thấy có lỗi vì ta chưa tạo file CSV. Ta sẽ tạo file này ở bước sau

Tạo caches

Chọn Cache Type

Config cache

Tạo lookup tables

Khai báo thông tin. Data AdapterCache chọn giá trị vừa tạo ở bước trước.

Ta thấy vẫn có lỗi vì vẫn bị thiếu file CSV. Bây giờ chúng ta sẽ tiến hành tạo file này.

Tạo file CSV

Truy cập vào Graylog server để tạo file CSV

vi /etc/graylog/lookup-table.csv

Thêm nội dung thích hợp. File ví dụ của tôi có nội dung như sau

[root@graylog ~]# cat /etc/graylog/lookup-table.csv "user_ssh","full_name" "root","Quan tri vien" "anv","Nguyen Van A" "bnv","Nguyen Van B" 

Dòng đầu tiên khai báo KeyValue như khai báo Adapter

Tạo extractor

Quay trở lại bản tin SSH để tạo extractor

Cấu hình extractor

Trong đó:

  • Lookup Table là lookup table ta tạo ở trên
  • Store as field là tên của trường ta muốn lưu giá trị mới

Ta thấy extractor vừa tạo

Kiểm tra bản tin SSH ta đã thấy có trường full_name_login_ssh

ONET IDC thành lập vào năm 2012, là công ty chuyên nghiệp tại Việt Nam trong lĩnh vực cung cấp dịch vụ Hosting, VPS, máy chủ vật lý, dịch vụ Firewall Anti DDoS, SSL… Với 10 năm xây dựng và phát triển, ứng dụng nhiều công nghệ hiện đại, ONET IDC đã giúp hàng ngàn khách hàng tin tưởng lựa chọn, mang lại sự ổn định tuyệt đối cho website của khách hàng để thúc đẩy việc kinh doanh đạt được hiệu quả và thành công.
Bài viết liên quan

Finding strings in text files using grep with regular expression

grep is one of most popular tools for searching and finding strings in a text file. The name ‘grep’ derives from a...
29/12/2020

Install Google Chrome on RHEL8

This tutorial explains how to install Google Chrome with 2 commands only (wget and yum install) as an introduction to packages...
29/12/2020

Linux Exec System Call

The exec system call is used to execute a file which is residing in an active process. When exec is called the previous...
28/12/2020
Bài Viết

Bài Viết Mới Cập Nhật

Tìm Hiểu Về Thuê Proxy US – Lợi Ích và Cách Sử Dụng Hiệu Quả
11/12/2024

Mua Proxy V6 Nuôi Facebook Spam Hiệu Quả Tại Onetcomvn
03/06/2024

Hướng dẫn cách sử dụng ProxyDroid để duyệt web ẩn danh
03/06/2024

Mua proxy Onet uy tín tại Onet.com.vn
03/06/2024

Thuê mua IPv4 giá rẻ, tốc độ nhanh, uy tín #1
28/05/2024