[Snort] Hướng dẫn đẩy log snort lên graylog

30/12/2020

Ở bài trước thì các bạn đã biết được cách làm sao để cài đặt được snort lên trên máy centos của mình rồi. Để có thể quản lý được nhiều log từ snort thì ta không thể vào và đọc từng log bằng cách xem ở consol được. Ở bài này tôi sẽ hướng dẫn mọi người đẩy log của snort lên trên graylog-server để có thể xem dữ liệu dễ dàng hơn.

IP PLANING

Host name IP DISK RAM CPU
graylog-server 10.10.34.131 20G 1G 1
client01 10.10.34.132 20G 1G 1

Mô hình

Thực hiện

Graylog-Server : Sẽ cài đặt log server. Nếu bạn chưa biết cài đặt thì hãy làm theo hướng dẫn cài đặt graylog server trên centos 7

Sau khi cài đặt được graylog server thì ta sẽ truy cập vào graylog server như đường dẫn ở bài hướng dẫn trên. Và đăng nhập với tài khoản admin đã được cài đặt

Sau khi cài đặt xong trên server ta sẽ thực hiện trên client01

Client01 : Máy client sẽ cài đặt snort để giám sát và phát hiện ra xâm nhập. Và có cài đặt thêm rule phát hiện gói ping ICMP để thử và kiểm tra. Nếu bạn chưa biết cài đặt hãy làm theo bài hướng dẫn cài đặt snort

Sau khi đã cài đặt xong snort thì ta sẽ cài đặt graylog sidecar để có thể đẩy log được từ client01 lên graylog server. Nếu như bạn chưa làm điều này bao giờ thì hãy đọc hướng dẫn cài đặt graylog sidecar trên centos 7

Theo như mặc định thì file log của snort được ghi vào có đường dẫn là /var/log/snort/alert thì ta sẽ cài đặt để client01 sẽ đẩy file log này lên graylog server ta sẽ làm theo các bước dưới đây

Sau khi cài đặt xong thì ta sẽ kiểm tra xem là client01 đã chính xác đẩy được log lên graylog server hay là chưa

Kịch bản :

  • Ta sẽ chạy command ping từ graylog server đến client01
  • Ta sẽ chạy command snort để client01 phát hiện ra gói tin ICMP
  • Trên web interface của graylog server ta sẽ đặt update 2s một lần để kiểm tra log của snort có được đẩy lên hay là không

Graylog server

ping 10.10.34.132

Client01

snort -A full -q -u snort -g snort -c /etc/snort/snort.conf

Web interface graylog

Kết quả như ta đã thấy rằng log của snort đã liên tục được đẩy lên graylog server. Chúng ta đã hoàn thành bài này tại đây. Chúc các bạn thành công!

ONET IDC thành lập vào năm 2012, là công ty chuyên nghiệp tại Việt Nam trong lĩnh vực cung cấp dịch vụ Hosting, VPS, máy chủ vật lý, dịch vụ Firewall Anti DDoS, SSL… Với 10 năm xây dựng và phát triển, ứng dụng nhiều công nghệ hiện đại, ONET IDC đã giúp hàng ngàn khách hàng tin tưởng lựa chọn, mang lại sự ổn định tuyệt đối cho website của khách hàng để thúc đẩy việc kinh doanh đạt được hiệu quả và thành công.
Bài viết liên quan

[DNS] DNS và các khái niệm liên quan

DNS hay Domain Name System, dịch nghĩa là hệ thống tên miền làm nhiệm vụ phân giải giữa địa chỉ...
30/12/2020

Ứng dụng Nginx Proxy Manager làm giao diện quản trị Nginx Proxy

Nginx Proxy manager là công cụ hỗ trợ quản trị Nginx thông qua giao diện đồ họa. Nginx proxy manager...
30/12/2020

Thay đổi timezone của VPS CentOS theo đúng múi giờ Việt Nam

– Kiểm tra múi giờ hiện tại: date – Cập nhật lại timezone sang Asia/Ho_Chi_Minh: rm -f /etc/localtime ln...
28/12/2020
Bài Viết

Bài Viết Mới Cập Nhật

Hướng dẫn fake ip bằng phần mềm SStap
10/06/2025

VPS treo game là gì? Thuê VPS treo game giá rẻ, không lo giật lag
02/06/2025

 BitBrowser – Best Anti-Detect Browser!
26/05/2025

Dịch Vụ Xây Dựng Hệ Thống Peering Với Internet Exchange (IXP)
04/04/2025

Dịch Vụ Triển Khai VPN Site-to-Site & Remote Access
04/04/2025