Cấu hình cmd log trên Graylog và cảnh báo về Telegram
Hướng dẫn chi tiết cách cấu hình cmd log trên Graylog và thiết lập cảnh báo gửi về Telegram khi sử dụng câu lệnh nhạy cảm. Chi tiết ngay sau đây.
Cảnh báo qua Telegram khi Linux sử dụng những câu lệnh nhạy cảm là một biện pháp bảo mật quan trọng nhằm phát hiện và ngăn chặn các hành động có thể gây hại hoặc truy cập trái phép vào hệ thống. Nếu phát hiện kịp thời sẽ giúp chúng ta giảm thiểu những tổn hại không đáng có. Cùng tìm hiểu cách cấu hình cmd log trên Graylog để gửi cảnh báo về Telegram khi xuất hiện những câu lệnh nhạy cảm trong Linux ngay dưới đây nhé.
1. Cmd log là gì?
Cmd log chính là file log ghi lại những câu lệnh mà bạn đã thực hiện trên máy chủ linux.
>>>Xem thêm:Hướng dẫn cấu hình cmd log trên Linux chi tiết nhất
Trong hình những câu lệnh thực hiện được và trả lời kết quả là OK thì sẽ có thêm [0] ở cuối còn số khác [0] thì sẽ là các câu lệnh sai hoặc chưa hoàn thành kết quả.
Nếu bạn chưa cài đặt có thể tham khảo script cài đặtở đây.
2. Hướng dẫn đẩy cmd log lên graylog server
2.1 Cấu hình trên máy log client
Biến “local6” dùng để thu thập log cmd nên ta cần chỉnh file cấu hình rsyslog để gửi log đi.
echo local6.info @IP-graylog-server:Port |
local6.info @172.16.66.59:1516 |
Restart lại dịch vụ
systemctl restart rsyslog |
2.2 Cấu hình trên graylog server
Việc đầu tiên ta cần phải mở port 1516.
ufw allow 1516/udp |
Tiếp theo ta cần thêm input mới trên giao diện graylog, nhớ chọn input là syslog UDP nhé.
3. Cảnh báo về telegram khi sử dụng các câu lệnh nhạy cảm
Tạo index-set để lưu trữ log của cmd-log
Tạo stream cho cmdlog.
Tiếp theo ta cần tạo stream rule cho index để nhận nhận được toàn bộ log từ cmd log.
Tiếp theo ta tạo một grok pattern cho cmdlog.
%{HOSTNAME:hostname} %{USERNAME:user}\: %{INT:id} %{USERNAME:login} \(%{IPV4:ip}\) %{MONTHNUM:month}/%{MONTHDAY:day}/%{YEAR:year} %{TIME:time} %{GREEDYDATA:cmdlog} \[%{INT:rev}] |
Tiếp theo ta tạo nội dung cảnh báo về Telegram
${foreach backlog message} Host: ${message.fields.hostname} Time: ${message.fields.time} ${message.fields.day}-${message.fields.month}-${message.fields.year} User ${message.fields.user} from ${message.fields.ip} action: ${message.fields.cmdlog}[${message.fields.rev}] ${end} |
Tiếp theo tạo điều kiện cảnh báo
cmdlog:rm* OR cmdlog:useradd* OR cmdlog:adduser* OR cmdlog:userdel* OR cmdlog:deluser* cmdlog:usermod* |
Như vậy là đã hoàn thành tất cả mọi cấu hình. Bây giờ ta cần hãy thử sử dụng câu lệnh nhạy cảm trên máy client để test cảnh báo.
Tổng kết
Trên đây là toàn bộ hướng dẫn của SunCloud bọn mình về cách cấu hình cmd log trên Graylog giúp các bạn nhận được cảnh báo về Telegram khi máy chủ linux sử dụng những câu lệnh nhạy cảm. Việc phát hiện những lệnh nhạy cảm là việc rất cần thiết, từ đó nâng cao bảo mật của hệ thống. Chúc bạn thành công!
>>> Có thể bạn quan tâm:Hướng dẫn cấu hình trên Graylog Server gửi thông báo về Telegram