文章/答案/技术大牛

发布

GrayLog文章集锦

共 28 篇文章

使用Telegraf+GrayLog实现Linux业务系统服务异常时自动推送钉钉告警

GrayLog使用HTTP JSONPath方式调用微步在线云API识别威胁IP

使用GrayLog对PrometheusAlert推送的安全告警进行图形报表统计与分析

Windows服务器安装graylog-sidecar实现系统日志快速接入Graylog

数据采集神器Telegraf对接开源日志服务器GrayLog

利用GrayLog的output功能实现简单的GrayLog分布式级联

GrayLog+nxlog采集邮箱登录日志csv文件并实现邮箱异地登录钉钉机器人告警

只能使用UDP:514端口接收Syslog日志的两种解决方法

开源蜜罐Hfish的简单部署并接入到GrayLog

一键安装脚本实现快速部署GrayLog Server 4.2.10单机版

利用GrayLog告警功能实现钉钉群机器人定时工作提醒

Linux主机安装NetFlow采集器并使用Graylog进行网络流量分析

CentOS7下部署OSSEC开源主机入侵检测系统(HIDS)并接入到GrayLog

Sysmon+Nxlog+GrayLog实现Windows服务器安全日志监控

Linux防暴力破解工具Fail2ban的日志接入到GrayLog并实现GeoIP展示

Nginx访问日志接入GrayLog4.2.5并通过GeoIP展现访问者IP的地理位置信息

商业堡垒机对接GrayLog实现生产服务器高危命令钉钉机器人自动告警

使用腾讯云SSL证书为GrayLog Web接口配置nginx HTTPS/SSL反向代理

GrayLog中使用Prometheus Alert实现钉钉群机器人自动告警

Graylog4.2集群部署完整教程

GrayLog配置SSH暴力破解攻击日志告警并推送到钉钉机器人

【实践】GrayLog4.2使用webhook成功推送日志告警到钉钉群机器人

【已修复Log4j2漏洞】GrayLog安全版本4.2.3升级实践

利用pipeline实现GrayLog中用日志源IP地址区分主机

Graylog4.2+GeoIP2获取SSH暴力破解攻击者IP的地理位置信息

使用EVE-NG模拟山石网科防火墙syslog日志接入GrayLog4.1

开源日志管理系统Graylog之Sidecar功能实践

CentOS7下部署Graylog开源日志管理系统

清单首页GrayLog文章集锦文章详情

清单「GrayLog文章集锦」 15/28

Linux防暴力破解工具Fail2ban的日志接入到GrayLog并实现GeoIP展示

yuanfan2012·小厂搬砖

在GrayLog的marketplace上有搜到关于Fail2ban日志Grok以及Pipeline的套件包

(图片可点击放大查看)

最后可以实现如下效果

(图片可点击放大查看)

结合我之前写的文章(点击链接查看原文章)

1、

决定进行尝试实践一下

环境如下

1、CentOS7 webserver 192.168.31.211作为日志源，安装fail2ban+graylog-sidecar+filebeat

2、GraylogServer 192.168.31.127导入Fail2ban的ContentPack

具体步骤如下:

一、安装并配置failban

curl -o /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo
yum install fail2ban -y

(图片可点击放大查看)

cd /etc/fail2ban/
cp fail2ban.conf fail2ban.local
cp jail.conf jail.local
vim jail.local

(图片可点击放大查看)

修改如下几个地方

ignoreip = 127.0.0.1/8 ::1
bantime  = 300
findtime  = 300
maxretry = 8

[sshd]配置处添加如下一行

enabled = true

(图片可点击放大查看)

启动fail2ban服务

systemctl start fail2ban.service 
systemctl enable fail2ban.service

(图片可点击放大查看)

查看日志，并触发ssh暴力破解登录日志

(图片可点击放大查看)

tail -f /var/log/fail2ban.log 
fail2ban-client status
fail2ban-client status sshd

(图片可点击放大查看)

二、安装sidecar+filebeat

1、graylog-sidecar安装

rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-sidecar-repository-1-2.noarch.rpm
yum install graylog-sidecar -y

(图片可点击放大查看)

2、filebeat安装

curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-8.1.0-x86_64.rpm
rpm -vi filebeat-8.1.0-x86_64.rpm

(图片可点击放大查看)

3、创建token

例如token为12fet46c82h8r9vlfjh8jqi8kbr2nlf6hdjd4l9rkdf648na2rle

(图片可点击放大查看)

4、修改sidecar.yml

cp /etc/graylog/sidecar/sidecar.yml /etc/graylog/sidecar/sidecar.yml_bak
vim /etc/graylog/sidecar/sidecar.yml

(图片可点击放大查看)

修改成如下配置

1）#server_url: "http://127.0.0.1:9000/api/"
修改为http://192.168.31.127:9000/api/
2）server_api_token: "12fet46c82h8r9vlfjh8jqi8kbr2nlf6hdjd4l9rkdf648na2rle"
3）#node_name: ""改为
node_name: "XXXX_IP"
4）取消#update_interval: 10的注释
update_interval: 10
5）取消#send_status: true 的注释
send_status: true

(图片可点击放大查看)

5、启动sidecar

graylog-sidecar -service install
systemctl restart graylog-sidecar.service
systemctl status graylog-sidecar.service

(图片可点击放大查看)

三、Graylog-Server上配置sidecar

1、创建filebeat类型的log采集配置

(图片可点击放大查看)

配置Input(Beat类型)

(图片可点击放大查看)

并添加一个固定字段 log_application 值设为fail2ban

(图片可点击放大查看)

2、防火墙开启5044/TCP端口

 firewall-cmd --permanent --zone=public --add-port=5044/tcp
 firewall-cmd --reload

3、建议单独配置indices和Stream，这样方便搜索

(图片可点击放大查看)

四、导入Fail2ban的套件包并配置Geo

(图片可点击放大查看)

注意：Pipelines中连接的Stream

(图片可点击放大查看)

配置GeoIP

(图片可点击放大查看)

五、配置DashBoard

(图片可点击放大查看)

可以看到日志已经拆解成很多字段，方便做日志分析与统计

最后的效果如下

(图片可点击放大查看)

总结：

1、配置上有很多小细节需要注意，例如

2、GrayLog MarketPlace上有许多优秀的套件

GrayLog文章集锦

Linux防暴力破解工具Fail2ban的日志接入到GrayLog并实现GeoIP展示

一、安装并配置failban

二、安装sidecar+filebeat

三、Graylog-Server上配置sidecar

四、导入Fail2ban的套件包并配置Geo

五、配置DashBoard

总结：

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐