Tìm hiểu cách tạo Extractors và sử dụng Dashboard để đếm số lượng kết nối SSH thành công, giúp quản lý và giám sát hiệu quả các kết nối SSH.
Trong quản lý hệ thống mạng và bảo mật, việc theo dõi các kết nối SSH thành công là một yếu tố quan trọng để đảm bảo an toàn và hiệu quả. Dashboard là công cụ mạnh mẽ giúp bạn tổng hợp và trực quan hóa dữ liệu này một cách dễ dàng. Bài viết này SunCloud sẽ hướng dẫn bạn từng bước tạo Extractors và sử dụng Dashboard để đếm số lượng kết nối SSH thành công.
1. Extractors là gì?
Extractors trong Graylog là các công cụ mạnh mẽ cho phép bạn trích xuất và xử lý dữ liệu từ các log message trước khi chúng được lưu trữ trong hệ thống Graylog. Extractors giúp bạn phân tích và cấu trúc lại các log messages để dễ dàng tìm kiếm, lọc và báo cáo.
Hiểu đơn giản rằng bạn có một đoạn log rất là dài, Extractor sẽ giúp bạn chia nhỏ log đó ra và gắn các giá trị đó vào một biến
Các loại Extractors phổ biến trong Graylog:
- Grok Pattern: Sử dụng các mẫu (pattern) dựa trên các biểu thức thông thường (regex) để trích xuất dữ liệu từ log messages.
- JSON Path: Sử dụng các đường dẫn JSON để trích xuất dữ liệu từ các log messages được định dạng dưới dạng JSON.
- CSV: Trích xuất các phần của log messages được định dạng dưới dạng CSV
2. Tạo Extractors Grok cho SSH
Có một lưu ý rằng mỗi Input sẽ có các Extractors riêng và các log đi vào Input đó phải sử dụng Extractors đó để biến đổi dữ liệu. Một Extractors không thể gắn cho nhiều Input được.
Bài viết này sẽ hướng dẫn bạn tạo Extractors Grok cho SSH cho Input Quang-Netbox
Đầu tiên ta cần phải vào xem log của Input Quang-Netbox sau đó lọc ra log có liên quan đến xác thực SSH.
Cú pháp lọc log SSH:
|
Accepted AND password AND for |
Tiếp theo ta bấm vào 1 log bất kỳ và chọn vào message và tiến hành tạo Extractor
Hãy cùng SunCloud bọn mình phân tích xem giao diện của extractor có gì nhé
Bạn hãy tùy chỉnh Pattern theo mẫu này của mình. Nếu bạn có kiến thức tốt về Grok thì có thể tùy chỉnh theo ý của bạn
|
%{DATA:Hostname} sshd\[%{INT}\]: %{WORD: Acction} password for.*(user)? %{DATA: User_ssh} from %{IPV4: IP_ssh} port %{INT: Port} ssh2 |
Bạn có thể click vào Try against example để xem mẫu kết quả cấu hình Extractor trước khi Save
Nhớ đặt tên và lưu lại nhé
Lưu ý rằng Extractor này chỉ có hiệu lực từ lúc bạn bắt đầu cấu hình và các log trước đó sẽ không áp dụng Extractor này
Bây giờ bạn có thể đăng nhập SSH (tùy bạn chọn thành công hay thất bại ) để tiến hành kiểm tra kiểm tra Extractor đã hoạt động chưa
Như trên hình ảnh ta phải thấy các biến mà Grok đã lấy ra như Action, IP_ssh, User_ssh thì Extractor mới hoạt động.
3. Sử dụng DashBoard để đếm số lượng SSH thành công
Trong Graylog, Dashboard (bảng điều khiển) là một tính năng cho phép người dùng tạo ra các giao diện tùy chỉnh để hiển thị dữ liệu log (nhật ký) theo cách trực quan và dễ theo dõi.Trong bài viết này SunCloud sẽ hướng dẫn các bạn tùy chỉnh DashBoard cho riêng bạn.
Trong bài này mình sẽ hướng dẫn bạn cấu hình lọc số lượng ssh theo dang All Time có nghĩa là toàn bộ thời gian. Bạn có thể tùy chỉnh theo ý của bạn.
Mình sẽ giải thích qua về nội dung mình cấu hình.Mình sử dụng Filter để lọc ra các Acction có nội dung là Accepted sau đó sử dụng hàm Count để đếm số lượng Acction đã lọc được. Khi đếm được nó sẽ hiển thị theo dạng Single Number ( nghĩa là chỉ hiển thị số).
Tuy nhiên như này vẫn chưa thể làm hài lòng mình được. Chúng ta cần đổi tên và mở rộng hình ảnh.
Bây giờ bạn chỉ cần lưu lại là xong.
Vậy là Suncloud đã hướng dẫn bạn cấu hình DashBoard hiển thị số lượng SSH thành công rồi. Nếu trong quá trình thực hiện, bạn gặp phải vướng mắc cần được hỗ trợ, hãy liên hệ với chúng tôi để được tư vấn nhanh nhất nhé. Chúc các bạn thành công!
>>> Có thể bạn quan tâm: Hướng dẫn các bước đẩy Log từ Client lên Graylog chi tiết
