文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

GrayLog文章集锦

28 篇文章
1
使用Telegraf+GrayLog实现Linux业务系统服务异常时自动推送钉钉告警
2
GrayLog使用HTTP JSONPath方式调用微步在线云API识别威胁IP
3
使用GrayLog对PrometheusAlert推送的安全告警进行图形报表统计与分析
4
Windows服务器安装graylog-sidecar实现系统日志快速接入Graylog
5
​数据采集神器Telegraf对接开源日志服务器GrayLog
6
利用GrayLog的output功能实现简单的GrayLog分布式级联
7
GrayLog+nxlog采集邮箱登录日志csv文件并实现邮箱异地登录钉钉机器人告警
8
只能使用UDP:514端口接收Syslog日志的两种解决方法
9
开源蜜罐Hfish的简单部署并接入到GrayLog
10
一键安装脚本实现快速部署GrayLog Server 4.2.10单机版
11
利用GrayLog告警功能实现钉钉群机器人定时工作提醒
12
Linux主机安装NetFlow采集器并使用Graylog进行网络流量分析
13
CentOS7下部署OSSEC开源主机入侵检测系统(HIDS)并接入到GrayLog
14
Sysmon+Nxlog+GrayLog实现Windows服务器安全日志监控
15
Linux防暴力破解工具Fail2ban的日志接入到GrayLog并实现GeoIP展示
16
Nginx访问日志接入GrayLog4.2.5并通过GeoIP展现访问者IP的地理位置信息
17
商业堡垒机对接GrayLog实现生产服务器高危命令钉钉机器人自动告警
18
使用腾讯云SSL证书为GrayLog Web接口配置nginx HTTPS/SSL反向代理
19
GrayLog中使用Prometheus Alert实现钉钉群机器人自动告警
20
Graylog4.2集群部署完整教程
21
GrayLog配置SSH暴力破解攻击日志告警并推送到钉钉机器人
22
【实践】GrayLog4.2使用webhook成功推送日志告警到钉钉群机器人
23
【已修复Log4j2漏洞】GrayLog安全版本4.2.3升级实践
24
利用pipeline实现GrayLog中用日志源IP地址区分主机
25
Graylog4.2+GeoIP2获取SSH暴力破解攻击者IP的地理位置信息
26
使用EVE-NG模拟山石网科防火墙syslog日志接入GrayLog4.1
27
开源日志管理系统Graylog之Sidecar功能实践
28
CentOS7下部署Graylog开源日志管理系统
清单首页GrayLog文章集锦文章详情
清单「GrayLog文章集锦21/28

GrayLog配置SSH暴力破解攻击日志告警并推送到钉钉机器人

yuanfan2012·小厂搬砖

GrayLog配置SSH暴力破解攻击日志告警并推送到钉钉机器人

接上一篇文章,【实践】GrayLog4.2使用webhook成功推送日志告警到钉钉群机器人,在前面的基础上进行优化和功能探索

1、webhook启动设置优化

由于webhook默认端口为9000,与GrayLog Web端口冲突,所以建议使用其它端口

代码语言:javascript
复制
firewall-cmd --add-port=8080/tcp --permanent --zone=public 
firewall-cmd --reload
mkdir /var/lib/webhook

(图片可点击放大查看)

设置webhook服务开机自启动

代码语言:javascript
复制
vi /usr/lib/systemd/system/webhook.service 
[Unit]
Description=Webhook service
After=network.target

[Service]
Type=simple
User=root
Group=root
LimitNOFILE=1024

Restart=on-failure
RestartSec=10
startLimitIntervalSec=60

WorkingDirectory=/var/lib/webhook
ExecStart=/opt/webhook -hooks /opt/hooks.json -port 8080 -verbose

# make sure log directory exists and owned by syslog
StandardOutput=syslog
StandardError=syslog
SyslogIdentifier=webhookd

[Install]
WantedBy=multi-user.target

(图片可点击放大查看)

代码语言:javascript
复制
systemctl enable webhook.service 
systemctl start webhook.service
systemctl status webhook.service

(图片可点击放大查看)

2、配置HTTP告警类型

代码语言:javascript
复制
http://192.168.31.127:8080/hooks/push2dingtalk

(图片可点击放大查看)

(图片可点击放大查看)

3、设置GrayLog Alert告警

我使用聚合结果到达阀值的方式 Aggregation of results reaches a threshold

关键字“failed password" ,查询窗口为1分钟内超过6次就产生告警

(图片可点击放大查看)

(图片可点击放大查看)

(图片可点击放大查看)

4、测试

比如对主机192.168.31.232进行SSH暴力破解测试

代码语言:javascript
复制
 watch -n 1 "hydra -l root -p admin@123 192.168.31.232 ssh"

(图片可点击放大查看)

这时理论上应该会发送钉钉机器人告警,但未收到

一度以为是配置哪里出问题了,在这个问题上卡了很久

最终查看graylog服务日志

代码语言:javascript
复制
tail -f /var/log/graylog-server/server.log 

2021-12-21T20:20:32.369+08:00 ERROR [PivotAggregationSearch] Aggregation search query <streams-query-1> returned an error: Elasticsearch exception [type=illegal_argument_exception, reason=maxSize must be >= 0 and < 2147483631; got: 2147483647].
ElasticsearchException{message=Search type returned error: , errorDetails=[]}

(图片可点击放大查看)

根据这个报错在官方论坛上找到答案了

代码语言:javascript
复制
https://community.graylog.org/t/elasticsearch-pivotaggregationsearch-errors-after-upgrade-to-4-1-es-7-14/21006

(图片可点击放大查看)

5、解决办法:升级Elasticsearch至7.16.2版本

代码语言:javascript
复制
https://mirrors.cloud.tencent.com/elasticstack/7.x/yum/7.16.2/elasticsearch-7.16.2-x86_64.rpm

rpm -Uvh elasticsearch-7.16.2-x86_64.rpm 
systemctl daemon-reload
systemctl restart elasticsearch.service

(图片可点击放大查看)

6、接下来就可以正常收到钉钉机器人告警

(图片可点击放大查看)

(图片可点击放大查看)

下一篇
举报

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2025 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号 | 京公网安备号11010802020287

领券