[Snort] Hướng dẫn đẩy log snort lên graylog

30/12/2020

Ở bài trước thì các bạn đã biết được cách làm sao để cài đặt được snort lên trên máy centos của mình rồi. Để có thể quản lý được nhiều log từ snort thì ta không thể vào và đọc từng log bằng cách xem ở consol được. Ở bài này tôi sẽ hướng dẫn mọi người đẩy log của snort lên trên graylog-server để có thể xem dữ liệu dễ dàng hơn.

IP PLANING

Host name IP DISK RAM CPU
graylog-server 10.10.34.131 20G 1G 1
client01 10.10.34.132 20G 1G 1

Mô hình

Thực hiện

Graylog-Server : Sẽ cài đặt log server. Nếu bạn chưa biết cài đặt thì hãy làm theo hướng dẫn cài đặt graylog server trên centos 7

Sau khi cài đặt được graylog server thì ta sẽ truy cập vào graylog server như đường dẫn ở bài hướng dẫn trên. Và đăng nhập với tài khoản admin đã được cài đặt

Sau khi cài đặt xong trên server ta sẽ thực hiện trên client01

Client01 : Máy client sẽ cài đặt snort để giám sát và phát hiện ra xâm nhập. Và có cài đặt thêm rule phát hiện gói ping ICMP để thử và kiểm tra. Nếu bạn chưa biết cài đặt hãy làm theo bài hướng dẫn cài đặt snort

Sau khi đã cài đặt xong snort thì ta sẽ cài đặt graylog sidecar để có thể đẩy log được từ client01 lên graylog server. Nếu như bạn chưa làm điều này bao giờ thì hãy đọc hướng dẫn cài đặt graylog sidecar trên centos 7

Theo như mặc định thì file log của snort được ghi vào có đường dẫn là /var/log/snort/alert thì ta sẽ cài đặt để client01 sẽ đẩy file log này lên graylog server ta sẽ làm theo các bước dưới đây

Sau khi cài đặt xong thì ta sẽ kiểm tra xem là client01 đã chính xác đẩy được log lên graylog server hay là chưa

Kịch bản :

  • Ta sẽ chạy command ping từ graylog server đến client01
  • Ta sẽ chạy command snort để client01 phát hiện ra gói tin ICMP
  • Trên web interface của graylog server ta sẽ đặt update 2s một lần để kiểm tra log của snort có được đẩy lên hay là không

Graylog server

ping 10.10.34.132

Client01

snort -A full -q -u snort -g snort -c /etc/snort/snort.conf

Web interface graylog

Kết quả như ta đã thấy rằng log của snort đã liên tục được đẩy lên graylog server. Chúng ta đã hoàn thành bài này tại đây. Chúc các bạn thành công!

ONET IDC thành lập vào năm 2012, là công ty chuyên nghiệp tại Việt Nam trong lĩnh vực cung cấp dịch vụ Hosting, VPS, máy chủ vật lý, dịch vụ Firewall Anti DDoS, SSL… Với 10 năm xây dựng và phát triển, ứng dụng nhiều công nghệ hiện đại, ONET IDC đã giúp hàng ngàn khách hàng tin tưởng lựa chọn, mang lại sự ổn định tuyệt đối cho website của khách hàng để thúc đẩy việc kinh doanh đạt được hiệu quả và thành công.
Bài viết liên quan

[KVM] Sử dụng virt-manager để quản lý VMs

Ở bài viết này mình sẽ chia sẻ cách sử dụng virt-manager – một công cụ quản trị VM đắc...
30/12/2020

[Ubuntu 18.4] Hướng dẫn đặt địa chỉ IP trên Ubuntu 18.4

Chắc hẳn nhiều người đã không còn xa lạ với thao tác cấu hình địa chỉ IP bằng CLI trong các...
30/12/2020

Hướng dẫn cấu hình rclone kết nối với Amazon S3

Trong bài trước chúng ta đã tìm hiểu cách cấu hình rclone với Dropbox. Bài viết này sẽ giới thiệu...
30/12/2020
Bài Viết

Bài Viết Mới Cập Nhật

mua Proxy riêng ở đâu, và nó đem lại lợi ích gì cho người sử dụng
22/11/2022

Hướng dẫn sử dụng Proxy Helper Fakeip khi thuê proxy
21/11/2022

PROXY NUÔI TÀI KHOẢN FACEBOOK – KINH NGHIỆM FAKE IP – THUÊ PROXY GIÁ RẺ
14/11/2022

Mua Proxy Nuôi Zalo Giá Rẻ Tại Onet.com.vn
14/11/2022

BẢNG GIÁ MUA PROXY VIỆT NAM và PROXY US Onet.com.vn
14/11/2022