CHI TIẾT BÀI VIẾT

CÀI ĐẶT VÀ CẤU HÌNH LOGANALYZER VỚI RSYSLOG DATABASE TRÊN LINUX - Phần 3. Phần Body của LogAnalyzer

08/05/2022 6:25:00 PM | Xem: lần

Phần 1. Giới thiệu về công cụ LogAnalyzer

Phần 2. Chi tiết thành phần Header của LogAnalyzer 

Phần 3. Chi tiết thành phần Body của LogAnalyzer

Phần 4. Mô hình & kịch bản cài đặt LogAnalyzer với RSyslog Database trên Linux

Phần 5. Cài đặt Apache services trên CentOS 8

Phần 6. Cài đặt MariaDB trên CentOS 8

Phần 7. Cài đặt và cấu hình Log Analyzer trên CentOS 8

Phần 8. Cấu hình Rsyslog trên RedHat Enterprise 8 (Client)

Phần 9. Kiểm tra thu thập log từ Server và Client

----------------------------------------------------------------------------------------------------


PHẦN 3. CHI TIẾT THÀNH PHẦN BODY CỦA LOG ANALYZER

Hiển thị tất cả các log/event từ Server
Có 2 thành phần quan trọng trong Syslog : Facility và Severity

Facility là một code được sử dụng để phân loại kiểu sự kiện của hệ thống gửi qua các message.


Facility code

Keyword

Mô tả

0

KERN

Kernel messages

1

USER

User-level messages

2

MAIL

Mail system

3

DAEMON

System daemons

4

AUTH

Security/authentication messages

5

SYSLOG

Messages generated internally by syslogd

6

LPR

Line printer subsystem

7

NEWS

Network news subsystem

8

UUCP

UUCP subsystem

9

CRON

Cron subsystem

10

AUTHPRIV

Security/authentication messages

11

FTP

FTP daemon

12

NTP

NTP subsystem

13

SECURITY

Log audit

14

CONSOLE

Log alert

15

SOLARIS-CRON

Scheduling daemon

16-23

LOCAL0 – LOCAL7

Locally used facilities

Severity level được hiểu như mức độ nghiêm trọng của vấn đề. Có 9 loại severity được thể hiện dưới bảng sau:


SEVERITY LEVEL

Giải thích

**

SEVERITY IN EVENT

Những thiết lập tin nhắn mặc định sẽ được gửi vào cho các sự kiện

0

EMERGENCY

Những ứng dụng hệ thống chưa được sử dụng tới

1

ALERT

Cần được khắc phục lỗi ngay lập tức, lỗi này thường ảnh hưởng đến các dữ liệu nhạy cảm như database

2

CRITICAL

Cần được khắc phục lỗi ngay lập tức, có thể bị lỗi trên các ứng dụng thuộc hệ thống

3

ERROR

Cảnh báo các lỗi xuất hiện ngay trên hệ thống, những lỗi thông thường không quá nghiêm trọng

4

WARNING

Thông báo cảnh báo, nó không phải là lỗi tuy nhiên một số vấn đề liên quan có thể ảnh hưởng đến hệ thống sau này

5

NOTICE

Thông báo các sự kiện bất thường, nó không phải là lỗi thường là các email báo cáo, spam… các vấn đề này không nghiêm trọng và không cần xử lý ngay lập tức

6

INFORMATIONAL

Các thông báo hoạt động bình thường của hệ thống, thu thập báo cáo, đo lường thông tin

7

DEBUG

Các tin nhắn chứa các thông tin dành riêng cho các nhà phát triển, lập trình, debug lỗi chương trình

Các màu sắc thuộc tính giúp phân biệt loại dữ liệu, mức độ nghiêm trọng của log/event. Có 3 nhóm màu cơ bản dùng để xác định: đỏ, xanh, cam
Tại các cột Facility, Severity, Host, Syslogtag và Messagetype thì các thuộc tính đều có thể filter theo 1 một điều kiện có sẵn bằng cách chọn vào thuộc tính và chọn điều kiện

Filter for ‘KERN’ only : chỉ tìm các trường có thuộc tính là KERN




Show all except ‘KERN’ : hiển thị tất cả các thuộc tính khác ngoài trừ thuộc tính KERN




Add ‘WARNING’ to filterset : với điều kiện filter này (trạng thái chấm xanh lá) thì tìm tất cả các trường có thuộc tính WARNING, và nó sẽ được gán vào khung tìm kiếm nối tiếp sau điều kiện có sẵn trước đó




Exclude ‘WARNING’ from filterset : lọc ra tất cả các trường có thuộc tính khác với thuộc tính WARNING




Chú ý: khi ta filter theo điều kiện thì keywork đó sẽ hiện thị trong khung tìm kiếm của thanh Search(filter), và tương ứng với điều kiện sẽ hiện thị cú pháp riêng biệt

Đối với điều kiện Filter for ‘keyword’ only : facility:=KERN


Đối với điều kiện Show all except ‘keyword’ : facility:-=KERN


Tại cột Message, có thể xem nội dung log qua 2 cách:
Cách 1: Xem nhanh nội dung bằng cách click trực tiếp vào nội dung log


Cách 2: Xem chi tiết nội dung bằng cách click vào biểu tượng kính lúp


1. Thanh công cụ filter

  • Set auto reload: cài đặt thời gian reload/refresh danh sách

  • Auto reload disable: tắt chế độ tự động reload

  • 5 seconds -> 30 minutes : thời gian reload danh sách logs/events (giây -> phút)



Total records found: đếm tổng số logs/events có trong bảng danh sách


Records per page: số lượng logs/events trong 1 trang


2. Xuất report ra file CSV hoặc XML

 

 

                                                                                                                                     Khổng Trọng Vinh



DANH MỤC BÀI VIẾT

BÀI VIẾT XEM NHIỀU NHẤT

Kỳ thi CEH v13: Hướng dẫn chi tiết và chiến lược ôn thi hiệu quả Kỳ thi CEH v13: Hướng dẫn chi tiết và chiến lược ôn thi hiệu quả
CEH v13 AI: CẬP NHẬT MỚI TRONG CHƯƠNG TRÌNH CERTIFIED ETHICAL HACKER CEH v13 AI: CẬP NHẬT MỚI TRONG CHƯƠNG TRÌNH CERTIFIED ETHICAL HACKER
Hướng dẫn cài đặt và sử dụng CheckMarx Hướng dẫn cài đặt và sử dụng CheckMarx
Capture the Flag (CTF) | Phần 2. “Web” cho người mới bắt đầu chơi CTF Capture the Flag (CTF) | Phần 2. “Web” cho người mới bắt đầu chơi CTF
Capture the Flag (CTF) | Cuộc thi CTF và hình thức thi CTF Capture the Flag (CTF) | Cuộc thi CTF và hình thức thi CTF
Giới thiệu Tường lửa Sophos Giới thiệu Tường lửa Sophos
CÀI ĐẶT VÀ CẤU HÌNH ZABBIX TRÊN LINUX CÀI ĐẶT VÀ CẤU HÌNH ZABBIX TRÊN LINUX
CÀI ĐẶT VÀ CẤU HÌNH NAGIOS TRÊN CENTOS 8 CÀI ĐẶT VÀ CẤU HÌNH NAGIOS TRÊN CENTOS 8
CÀI ĐẶT VÀ CẤU HÌNH LOGANALYZER VỚI RSYSLOG DATABASE TRÊN LINUX - Phần 9. Kiểm tra thu thập Log từ Server và Client CÀI ĐẶT VÀ CẤU HÌNH LOGANALYZER VỚI RSYSLOG DATABASE TRÊN LINUX - Phần 9. Kiểm tra thu thập Log từ Server và Client
CÀI ĐẶT VÀ CẤU HÌNH LOGANALYZER VỚI RSYSLOG DATABASE TRÊN LINUX - Phần 8. Cấu hình Rsyslog trên RHEL 8 (Client) CÀI ĐẶT VÀ CẤU HÌNH LOGANALYZER VỚI RSYSLOG DATABASE TRÊN LINUX - Phần 8. Cấu hình Rsyslog trên RHEL 8 (Client)