Trang chủTin tứcCấu hình cmd log trên Graylog và cảnh báo về Telegram
Cấu hình cmd log trên Graylog và cảnh báo về Telegram

Hướng dẫn chi tiết cách cấu hình cmd log trên Graylog và thiết lập cảnh báo gửi về Telegram khi sử dụng câu lệnh nhạy cảm. Chi tiết ngay sau đây.

Cảnh báo qua Telegram khi Linux sử dụng những câu lệnh nhạy cảm là một biện pháp bảo mật quan trọng nhằm phát hiện và ngăn chặn các hành động có thể gây hại hoặc truy cập trái phép vào hệ thống. Nếu phát hiện kịp thời sẽ giúp chúng ta giảm thiểu những tổn hại không đáng có. Cùng tìm hiểu cách cấu hình cmd log trên Graylog để gửi cảnh báo về Telegram khi xuất hiện những câu lệnh nhạy cảm trong Linux ngay dưới đây nhé.

1. Cmd log là gì?

Cmd log chính là file log ghi lại những câu lệnh mà bạn đã thực hiện trên máy chủ linux.

>>> Xem thêm: Hướng dẫn cấu hình cmd log trên Linux chi tiết nhất

Ví dụ cmd log
Ví dụ cmd log

Trong hình những câu lệnh thực hiện được và trả lời kết quả là OK thì sẽ có thêm [0] ở cuối còn số khác [0] thì sẽ là các câu lệnh sai hoặc chưa hoàn thành kết quả.

Nếu bạn chưa cài đặt có thể tham khảo script cài đặt ở đây.

2. Hướng dẫn đẩy cmd log lên graylog server

2.1 Cấu hình trên máy log client

Biến “local6” dùng để thu thập log cmd nên ta cần chỉnh file cấu hình rsyslog để gửi log đi.

echo local6.info  @IP-graylog-server:Port

local6.info  @172.16.66.59:1516

Restart lại dịch vụ

systemctl restart rsyslog

2.2 Cấu hình trên graylog server

Việc đầu tiên ta cần phải mở port 1516.

ufw allow 1516/udp

Tiếp theo ta cần thêm input mới trên giao diện graylog, nhớ chọn input là syslog UDP nhé.

thêm input mới trên giao diện graylog
thêm input mới trên giao diện graylog
Kiểm tra kết quả xem xem đã nhận được log chưa
Kiểm tra kết quả xem xem đã nhận được log chưa

3. Cảnh báo về telegram khi sử dụng các câu lệnh nhạy cảm

Tạo index-set để lưu trữ log của cmd-log

Tạo index-set để lưu trữ log của cmd-log
Tạo index-set để lưu trữ log của cmd-log
Tạo index-set để lưu trữ log của cmd-log 2
Tạo index-set để lưu trữ log của cmd-log 2

Tạo stream cho cmdlog.

Tạo stream cho cmdlog
Tạo stream cho cmdlog

Tiếp theo ta cần tạo stream rule cho index để nhận nhận được toàn bộ log từ cmd log.

tạo stream rule cho index
tạo stream rule cho index

Tiếp theo ta tạo một grok pattern cho cmdlog.

tạo 1 grok pattern cho cmdlog
tạo grok pattern cho cmdlog

%{HOSTNAME:hostname} %{USERNAME:user}\:  %{INT:id}  %{USERNAME:login} \(%{IPV4:ip}\) %{MONTHNUM:month}/%{MONTHDAY:day}/%{YEAR:year} %{TIME:time} %{GREEDYDATA:cmdlog} \[%{INT:rev}]

Tiếp theo ta tạo nội dung cảnh báo về Telegram

tạo nội dung cảnh báo
tạo nội dung cảnh báo

${foreach backlog message}

Host: ${message.fields.hostname}

Time: ${message.fields.time} ${message.fields.day}-${message.fields.month}-${message.fields.year}

User ${message.fields.user} from ${message.fields.ip} action: ${message.fields.cmdlog}[${message.fields.rev}]

${end}

Tiếp theo tạo điều kiện cảnh báo

tạo điều kiện cảnh báo
tạo điều kiện cảnh báo
tạo điều kiện cảnh báo
tạo điều kiện cảnh báo 2

cmdlog:rm* OR cmdlog:useradd* OR cmdlog:adduser* OR cmdlog:userdel* OR cmdlog:deluser* cmdlog:usermod*

tạo điều kiện cảnh báo 3
tạo điều kiện cảnh báo 3
cmd log graylog, tạo điều kiện cảnh báo 4
tạo điều kiện cảnh báo 4

Như vậy là đã hoàn thành tất cả mọi cấu hình. Bây giờ ta cần hãy thử sử dụng câu lệnh nhạy cảm trên máy client để test cảnh báo.

kiểm tra kết quả cmd log graylog
kiểm tra kết quả

Tổng kết

Trên đây là toàn bộ hướng dẫn của SunCloud bọn mình về cách cấu hình cmd log trên Graylog giúp các bạn nhận được cảnh báo về Telegram khi máy chủ linux sử dụng những câu lệnh nhạy cảm. Việc phát hiện những lệnh nhạy cảm là việc rất cần thiết, từ đó nâng cao bảo mật của hệ thống. Chúc bạn thành công!

>>> Có thể bạn quan tâm: Hướng dẫn cấu hình trên Graylog Server gửi thông báo về Telegram

Tác giả:
author avatar
Mình là Huy, hiện mình đang là kỹ sư hệ thống tại SunCloud. Mình có nhiều năm kinh nghiệm, kiến thức chuyên môn về mạng, hệ thống, điện toán mây và an ninh bảo mật. Mình đã triển khai và vận hành rất nhiều dự án thực tế cho doanh nghiệp, cơ quan. Mình đã đạt được một số chứng chỉ quốc tế như CCNP, LPI, VCP, đồng thời mình vẫn đang tiếp tục học tập để trau dồi kiến thức mỗi ngày. Mình rất yêu thích công nghệ, đam mê chia sẻ những kiến thức, thông tin hữu ích cho mọi người.

Tin tức nổi bật