Graylog仪表板允许你从基础结构的日志中构建可视汇总或快速统计。并且你希望在仪表板上显示的数据类型几乎没有限制。
前往仪表板菜单并点击“ 创建仪表板”。为仪表板命名,给它添加一个描述并保存。
perfect!我们有一个新的空的仪表板。接下来,我们将添加一些小部件。
从Graylog搜索MENU窗口,可以将搜索到的小部件添加到你的仪表盘。你可以添加统计值,搜索结果数量,IP地址地理位置信息(稍后详细介绍)等等。
你的有效载荷服务器的请求字段会被添加至控制台,并被分析。这可以让您看到您的有效载荷在特定时间段内被下载了多少次。
前往你的搜索菜单,并在搜索框中输入“ source:payload_server_hostname ”,选择一个你想搜索的时间段并按回车。在下面的例子中,我的有效载荷服务器的主机名是“ payload ”,我正在搜索最后一天内的所有日志。
接下来,滚动到搜索框下方的字段菜单中的“ request”复选框,展开它并点击“Quick values ”
Graylog会自动为您生成值,包括漂亮的饼图 和百分比。我们可以看到evil.hta在过去24小时内已经下载了18次。
要将其添加到仪表板,只需点击小部件右上角的添加至仪表板按钮即可。
你可以根据需要为任意数量的字段和日志源重复此过程。例如,如果你想查看由您的某个重定向器生成的顶级HTTP响应,只需更改搜索以匹配特定的重定向器(例如source:redirector1),并且这次扩展响应字段。
再次点击快速值,让Graylog为你做所有的辛苦工作。
有了一点想象力 ,当报告日出现时,你可以看到一个看上去很好看的仪表板,以打动你的同事和客户。您使用Graylog的搜索查询越舒适,您可以通过仪表板小部件获得更多创意。
一些要添加到仪表板的小部件示例:
顶级IP地址与您的网络服务器进行交互。
邮件服务器统计信息,例如邮件发送
日志成功的钓鱼。
主要国家与您的基础设施进行交互。
SSH登录到您的基础架构资产。
失败的登录尝试/蛮力攻击。
面对现实吧; 在交互式世界地图上实时地理定位IP地址非常酷。我并不感到羞愧,承认这是我建立集中式采伐的主要动机之一; 谁不想看起来像所有电影中的黑客之一?
下一节将快速介绍如何使用Graylog的地理位置功能将世界地图添加到仪表板。
你需要下载MaxMind的Geolite2城市数据库:
cd / etc / graylog / server
sudo wget http://geolite.maxmind.com/download/geoip/database/GeoLite2-City.tar.gz
sudo tar xvf GeoLite2-City.tar.gz
注意:确保数据库文件可以被Graylog读取。
接下来,我们需要启用Graylog的地理位置功能。前往系统 → 配置菜单并点击地理位置处理器插件部分的更新按钮。
启用地理位置处理器并输入你的地理位置数据库的完整路径。
一旦启用了位置处理器,单击消息处理器配置部分下的更新。
在下一个屏幕中,启用GeoIP解析器并将其标签拖到消息处理器列表的底部。一旦完成,您的配置应该与下面的配置类似:
我们完成了。Graylog应自动从专门包含IP地址的日志字段中提取地理位置信息。
要测试它,请转到搜索菜单并从任何您知道包含IP地址的来源搜索日志,例如Apache Web请求。您应该在Fields菜单中看到IP_geolocation复选框。展开它并点击世界地图。
你应该看到所有与你的日志源交互的IP地址在世界地图上弹出。你现在可以像其他任何小部件一样将其添加到仪表板。
差不多了。在最后的帖子这个博客系列,我将演示了如何使用Graylog的预警功能来发送攻击基础设施相关的事件懈怠。
http://docs.graylog.org/en/2.4/pages/dashboards.html
http://docs.graylog.org/en/2.4/pages/geolocation.html
http://docs.graylog.org/en/2.4/pages/dashboards.html#widget-types
http://docs.graylog.org/en/2.4/pages/queries.html
原文链接:https://thevivi.net/2018/03/23/attack-infrastructure-logging-part-3-graylog-dashboard-101/
本文作者:安识科技
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/70149.html