[Snort] Hướng dẫn đẩy log snort lên graylog

Ở bài trước thì các bạn đã biết được cách làm sao để cài đặt được snort lên trên máy centos của mình rồi. Để có thể quản lý được nhiều log từ snort thì ta không thể vào và đọc từng log bằng cách xem ở consol được. Ở bài này tôi sẽ hướng dẫn mọi người đẩy log của snort lên trên graylog-server để có thể xem dữ liệu dễ dàng hơn.

IP PLANING

Mô hình

Thực hiện

Graylog-Server : Sẽ cài đặt log server. Nếu bạn chưa biết cài đặt thì hãy làm theo hướng dẫn cài đặt graylog server trên centos 7

Sau khi cài đặt được graylog server thì ta sẽ truy cập vào graylog server như đường dẫn ở bài hướng dẫn trên. Và đăng nhập với tài khoản admin đã được cài đặt

Sau khi cài đặt xong trên server ta sẽ thực hiện trên client01

Client01 : Máy client sẽ cài đặt snort để giám sát và phát hiện ra xâm nhập. Và có cài đặt thêm rule phát hiện gói ping ICMP để thử và kiểm tra. Nếu bạn chưa biết cài đặt hãy làm theo bài hướng dẫn cài đặt snort

Sau khi đã cài đặt xong snort thì ta sẽ cài đặt graylog sidecar để có thể đẩy log được từ client01 lên graylog server. Nếu như bạn chưa làm điều này bao giờ thì hãy đọc hướng dẫn cài đặt graylog sidecar trên centos 7

Theo như mặc định thì file log của snort được ghi vào có đường dẫn là /var/log/snort/alert thì ta sẽ cài đặt để client01 sẽ đẩy file log này lên graylog server ta sẽ làm theo các bước dưới đây

Sau khi cài đặt xong thì ta sẽ kiểm tra xem là client01 đã chính xác đẩy được log lên graylog server hay là chưa

Kịch bản :

• Ta sẽ chạy command ping từ graylog server đến client01
• Ta sẽ chạy command snort để client01 phát hiện ra gói tin ICMP
• Trên web interface của graylog server ta sẽ đặt update 2s một lần để kiểm tra log của snort có được đẩy lên hay là không

Graylog server

ping 10.10.34.132

Client01

snort -A full -q -u snort -g snort -c /etc/snort/snort.conf

Web interface graylog

Kết quả như ta đã thấy rằng log của snort đã liên tục được đẩy lên graylog server. Chúng ta đã hoàn thành bài này tại đây. Chúc các bạn thành công!

ONET IDC

ONET IDC thành lập vào năm 2012, là công ty chuyên nghiệp tại Việt Nam trong lĩnh vực cung cấp dịch vụ Hosting, VPS, máy chủ vật lý, dịch vụ Firewall Anti DDoS, SSL… Với 10 năm xây dựng và phát triển, ứng dụng nhiều công nghệ hiện đại, ONET IDC đã giúp hàng ngàn khách hàng tin tưởng lựa chọn, mang lại sự ổn định tuyệt đối cho website của khách hàng để thúc đẩy việc kinh doanh đạt được hiệu quả và thành công.