日志审计Graylog审计华为交换机用户登录日志

上期讲解了日志审计graylog安装，这期讲解graylog的部分实用功能的使用。
上期内容链接：https://blog.csdn.net/weixin_43886932/article/details/125678301?spm=1001.2014.3001.5501

1、读取日志

日志基本上都存放在Streams — All messages中

进入ALL messages看到的日志并非很直观，如下图所示，我们登录的交换机日志都看不到是什么IP，解决方法是可以通过创建新的Stream来过滤所需要的的信息，创建仪表板Dashboards来显示需要的数据。

2、创建Stream

进入Create Stream，创建一个新的Stream，标题自定义，教程中为“78”，描述为“登录信息”。

配置Manage Rules

创建一个Stream rule

字段Field，选择远程IP（gl2_remote_ip），上期教程介绍了我们登录的交换机IP是172.16.1.254，如下图：

点击Strart Stream，开启“78”Stream。

点击运行，如下图：

上期教程已经配置好交换机，现在登录交换机获取到一些登录日志信息。
通过CRT登录交换机如下图：

日志审计GRAYLOG获取到的日志如下图：

我们获取一段交换机发给日志服务器的登录日志如下：
“Jul 6 2022 09:18:59 +78 %%01SHELL/5/LOGIN(s)[257]:The user succeeded in logging in to VTY0. (UserType=SSH, UserName=78, AuthenticationMethod=“Local-user”, Ip=172.16.1.60, VpnName=)”
从日志中得出，关键字如下：
登录成功：The user succeeded in logging in to VTY0
登录时间：Jul 6 2022 09:18:59
登录协议：UserType=SSH
登录用户：UserName=78
登录用户IP：Ip=172.16.1.60

进入提取器并创建新的字段，每添加1个字段，该步骤需要重复一次，点开需要提前的消息，如下图：

点开子菜单，如下图：

选择正则表达式Regular expression，如下图：



创建字段登录协议字段UserType：
正则表达式：UserType=(.?),

创建字段登录用户字段UserName：
正则表达式：UserName=(.?),

创建字段登录IP字段Ip：
正则表达式：Ip=(.?),

创建字段登录成功字段login：
正则表达式：👿.?).

正则表达式：]:(.*?)\.

3、创建仪表盘Dashboards

点击Dashboards—Create new dashboard




点击“+”号，创建6个Group By，按顺序选择字段：
第一个：timestamp
第二个：UserName
第三个：UserType
第四个：Ip
第五个：login
第六个：gl2_remote_ip
Visualization：Type选择Date Table
Sort：
Field选择timestamp;
direction选择Descending
如下图所示：

点击Apply Changes：
一定要注意过滤器选择我们创建的stream“78”，如下图所示：

最后点击Save:

选择日志的时间，任意选，点击播放符号运行。

退出登录的交换机，重新登录一次交换机，让刚才创建的字段生效。

登录退出华为交换机一下，就可以看到日志了，如下图所示：

最后，查看以下自己创建的字段位置：

4、日志保存时间

修改为保存180天，如下图所示：

选择Default index set，点击编辑edit,如下图所示：

选择Index Time,输入P180D，最后SAVE如下图：


本期只讲解了华为交换机的登录退出日志审计，其它品牌的操作方法基本一样，熟悉正则表达式的情况下很容易完成，搞IT的相信大家都有一些基本功，举一反三。

下期在讲解一些其它的功能应用。