Graylog observing system log events
- 新增使用者的場景
#建立PCIDSS使用者並修改密碼
useradd test2
passwd test2
chage -d 0 test2
chage -l test2
編輯rsyslog的配置文件
sudo nano /etc/rsyslog.conf# rsyslog configuration file
#### MODULES #######################################################################
$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
$ModLoad imjournal # provides access to the systemd journal
# Provides UDP syslog reception
# $ModLoad imudp
# $UDPServerRun 514
# Provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514
#### GLOBAL DIRECTIVES ###########################################################
$WorkDirectory /var/lib/rsyslog
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$IncludeConfig /etc/rsyslog.d/*.conf
$OmitLocalLogging on
$IMJournalStateFile imjournal.state
#### RULES #########################################################################
*.info;mail.none;authpriv.none;cron.none /var/log/messages
authpriv.* /var/log/secure
mail.* -/var/log/maillog
cron.* /var/log/cron
*.emerg :omusrmsg:*
uucp,news.crit /var/log/spooler
local7.* /var/log/boot.log
# ### begin forwarding rule ###
*.* @@<你的graylog地址>:5140確保成功啟動,同時新增使用者
回到graylog上查看,並搜尋使用者關鍵字「test2」
- 刪除使用者也會有日誌記錄
sudo userdel -r test2
chage -l test2
#chage: user 'test2' does not exist in /etc/passwd
- 停止時間同步
#停止時間伺服器(第一種)
systemctl stop ntpd.service
#停止時間伺服器(第二種)
sudo service chronyd stop
#將時間設為九點五十八
date -s 0958
#確認當前時間
date
查看日誌
- 恢復時間同步
#啟用
sudo systemctl start chronyd
#確認當前時間
date
# Fri Aug 16 10:03:29 UTC 2024
# 啟用同步
sudo chronyc makestep
# 200 OK
#查看同步後時間
date
#Fri Aug 16 03:10:07 UTC 2024
查看日誌
- 觀察root行為
在graylog的搜尋關鍵字下「root」或「acct=”root”」
顯示有某個用戶提權使用了sudo指令
- 執行su(開啟root)到建立使用者到刪除使用者整段
- 開始監控(剛接上filebeat時會搜刮從頭的所有日誌)
- ssh連線開啟會話及結束會話
