上期讲解了日志审计graylog安装,这期讲解graylog的部分实用功能的使用。
上期内容链接:https://blog.csdn.net/weixin_43886932/article/details/125678301?spm=1001.2014.3001.5501
1、读取日志
日志基本上都存放在Streams — All messages中
进入ALL messages看到的日志并非很直观,如下图所示,我们登录的交换机日志都看不到是什么IP,解决方法是可以通过创建新的Stream来过滤所需要的的信息,创建仪表板Dashboards来显示需要的数据。
2、创建Stream
进入Create Stream,创建一个新的Stream,标题自定义,教程中为“78”,描述为“登录信息”。
配置Manage Rules
创建一个Stream rule
字段Field,选择远程IP(gl2_remote_ip),上期教程介绍了我们登录的交换机IP是172.16.1.254,如下图:
点击Strart Stream,开启“78”Stream。
点击运行,如下图:
上期教程已经配置好交换机,现在登录交换机获取到一些登录日志信息。
通过CRT登录交换机如下图:
日志审计GRAYLOG获取到的日志如下图:
我们获取一段交换机发给日志服务器的登录日志如下:
“Jul 6 2022 09:18:59 +78 %%01SHELL/5/LOGIN(s)[257]:The user succeeded in logging in to VTY0. (UserType=SSH, UserName=78, AuthenticationMethod=“Local-user”, Ip=172.16.1.60, VpnName=)”
从日志中得出,关键字如下:
登录成功:The user succeeded in logging in to VTY0
登录时间:Jul 6 2022 09:18:59
登录协议:UserType=SSH
登录用户:UserName=78
登录用户IP:Ip=172.16.1.60
进入提取器并创建新的字段,每添加1个字段,该步骤需要重复一次,点开需要提前的消息,如下图:
点开子菜单,如下图:
选择正则表达式Regular expression,如下图:
创建字段登录协议字段UserType:
正则表达式:UserType=(.?),
创建字段登录用户字段UserName:
正则表达式:UserName=(.?),
创建字段登录IP字段Ip:
正则表达式:Ip=(.?),
创建字段登录成功字段login:
正则表达式:👿.?).
正则表达式:]:(.*?)\.
3、创建仪表盘Dashboards
点击Dashboards—Create new dashboard
点击“+”号,创建6个Group By,按顺序选择字段:
第一个:timestamp
第二个:UserName
第三个:UserType
第四个:Ip
第五个:login
第六个:gl2_remote_ip
Visualization:Type选择Date Table
Sort:
Field选择timestamp;
direction选择Descending
如下图所示:
点击Apply Changes:
一定要注意过滤器选择我们创建的stream“78”,如下图所示:
最后点击Save:
选择日志的时间,任意选,点击播放符号运行。
退出登录的交换机,重新登录一次交换机,让刚才创建的字段生效。
登录退出华为交换机一下,就可以看到日志了,如下图所示:
最后,查看以下自己创建的字段位置:
4、日志保存时间
修改为保存180天,如下图所示:
选择Default index set,点击编辑edit,如下图所示:
选择Index Time,输入P180D,最后SAVE如下图:
本期只讲解了华为交换机的登录退出日志审计,其它品牌的操作方法基本一样,熟悉正则表达式的情况下很容易完成,搞IT的相信大家都有一些基本功,举一反三。
下期在讲解一些其它的功能应用。
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
