Giới thiệu sơ về sự kết hợp và cách đẩy log từ Snort 3.x sang Graylog 4.x

  

OK, tối nay sẽ quay lại đây và cùng nhau xem qua sự thay đổi cách config đơn giản nhất để kết hợp giữa Snort và Graylog.


Giới thiệu sơ về sự kết hợp và cách đẩy log từ Snort 3.x sang Graylog 4.x

Hôm nay sẽ dùng 2 con server, một con cài Snort 3.x và một con cài Graylog 4.x và toàn bộ chạy CenOS 8


Snort 3.x :

Vào thẳng trang chủ snort.org tìm đến phần document, đây là Centos8 nên chọn đúng tài liệu và đọc thật kỹ càng, cứ làm theo là sẽ hiểu.

Vì sao lại không ghi chi tiết cách cài đặt và config mà kêu đọc tài liệu ? wtf vậy ai nói không được :)

Xin thưa rằng đối với version 3 này phải công nhận một điều snort 3x nó viết guide hướng dẫn chi tiết và cặn kẽ, nếu bạn đọc mà không cài được để nó chạy thì nên học lại  linux đi là vừa :) nghiêm túc đây.


Giới thiệu sơ về sự kết hợp và cách đẩy log từ Snort 3.x sang Graylog 4.xGiới thiệu sơ về sự kết hợp và cách đẩy log từ Snort 3.x sang Graylog 4.x


Giới thiệu sơ về sự kết hợp và cách đẩy log từ Snort 3.x sang Graylog 4.x


Sau khi cài snort xong thì một số rules snort cung cấp đa phần là IPS là nhiều, nên đã viết một rules test IDS như sau, cứ icmp thì báo để lấy log test chơi :)


Snort cũng có tool để test xem mình cofig đã đúng chưa, cứ theo tài liệu thì dùng git kéo về dùng, nếu run pass qua hết các case xem như ok.

Viết rules test icmp để có log IDS như sau :


Giới thiệu sơ về sự kết hợp và cách đẩy log từ Snort 3.x sang Graylog 4.x


Như trên là cách cài Snort, cứ theo hướng dẫn làm cho chạy đi là bạn sẽ hiểu được cách cài, sau khi hiểu muốn làm gì theo ý mình là dễ nhất.

Danh sách các log của snort như sau, mỗi tên file là name output trong config.


Giới thiệu sơ về sự kết hợp và cách đẩy log từ Snort 3.x sang Graylog 4.x


Graylog 4.x : Nói đến Graylog thì thôi rồi, ngủ một giấc dậy thì nó đã sang version khác.

Cách cài đặt thì cũng khá là nhanh, thật sự cũng nhanh thật khi bạn đã hiểu nó, muốn version mấy cũng chơi tốt. Có thể tham khảo hướng dẫn trước đây mình đã viêt (Graylog 2x), cách cài cũng không khác gì lắm. Hướng dẫn cài đặt graylog trên centos


Giới thiệu sơ về sự kết hợp và cách đẩy log từ Snort 3.x sang Graylog 4.x


Sau khi cài xong tắt SELinux và trỏ IP về host trong file config là lên được web ngay, khá là nhanh, các bước thư tự không thay đổi nên cứ theo đó mà cài.


Giới thiệu sơ về sự kết hợp và cách đẩy log từ Snort 3.x sang Graylog 4.x


Rsyslog : Phần này là quan trọng, vì sao ? Vì nó là cách đẩy log từ con server snort qua con server graylog.


vi /etc/rsyslog.conf


Giới thiệu sơ về sự kết hợp và cách đẩy log từ Snort 3.x sang Graylog 4.x


Mở module tcp và udp ra, và cho nó chạy port 10514.

Ở đây mình đã có log của snort lưu vào /var/log/snort rồi, nếu để mặc định thì rsyslog nó sẽ tạo ra các file message chưa log và các file khác thì sẽ khiến server bị x2 phình ra không hay. Khóa nó lại hết.

Có thể thay thế localx.* từ 1 đến 7 nếu muốn đọc hết các log trong snort, nếu bạn muốn.


Giới thiệu sơ về sự kết hợp và cách đẩy log từ Snort 3.x sang Graylog 4.x


Có thể gọi tên ra vẫn được, do trên khóa hết rồi nên lấy all luôn cho nhanh


*.* @192.168.1.7:10514;RSYSLOG_SyslogProtocol23Format
systemctl restart rsyslog

Giới thiệu sơ về sự kết hợp và cách đẩy log từ Snort 3.x sang Graylog 4.x


Giới thiệu sơ về sự kết hợp và cách đẩy log từ Snort 3.x sang Graylog 4.x

Giới thiệu sơ về sự kết hợp và cách đẩy log từ Snort 3.x sang Graylog 4.x


Ở trên là cách cài đặt cấu hình, thuộc về cơ bản ban đầu để có môi trường sử dụng, còn muốn controll nó và phục vụ cho nhu cầu cầu phải học biết viết rules, block list ip, openappid... :)


Nhãn: