Selamlar arkadaşlar bu yazımda sizlere Graylog üzerinde Event Definitions işlemini anlatıyor olacağım. Bu lab’ı oluştururken bir adet Ubuntu 22.04 cihazım var ve cihazım NXLog ile /var/log/syslog ile var/log/auth.log loglarını Graylog Server’ıma TLS ile gönderiyor.
Bu ayarlamaları sizde yapmak isterseniz buraya tıklayarak yazıma ulaşabilir ve aynı şekilde sizde ayarlamalar yapabilirsiniz.
Ayrıca Alerts hakkında Graylog Dökümantosyonuna bakmak istiyorsanız buraya tıklayabilirsiniz.
Bu ayarlamaları yaptıktan sonra cihazımızdan Graylog’a gelen bir log’u Search kısmında Query ile aratmamız ve bulmamız gerekiyor. Siz isterseniz daha geniş sorgular oluşturabilir ve o şekilde log’u bulabilirsiniz. Ben basit bir şekilde yapacağım bunu.
Search alanına geldim ve Query alanına “Failed password for” yazarak bu string ile eşleşen logları belirledim.
Daha sonra Alerts > Event Definitions alanına geldim ve Create Event Definition butonuna bastım.
Açılan ekrandaki ilk adım olan Event Details adımında Title ile bir isim belirliyoruz, Priority değerini High olarak belirliyorum ve Next tuşuyla devam ediyorum.
Filter & Aggregation alanında ise Condition Type olarak Filter & Aggregation alanını seçiyorum. Ardından Filter alanında Search Query kısmına önceden belirlemiş olduğum “Failed password for” yazıyorum ve Filter Preview alanında doğru logları bulduğundan emin oluyorum. Streams alanında ise boş bırakırsanız hepsinde arama yapacak ancak ben sadece Default Stream’de arama yapmasını istediğim için onu yazıyorum ve sayfanın aşağısına doğru devam ediyorum.
Sonrasında ise Search within the last alanına son 5 dakika içinde bakmasını, Execute search every kısmına 3 yazarak ise 3 dakikada bir çalıştırmasını istediğimi yazıyorum ve aşağıdaki Enable alanını işaretliyorum.
Create Events for Definition if… alanında ise Aggregation of result reaches a threshold seçeneğini seçerek aşağıdaki alanın açılmasını sağlıyorum.
Aggregation kısmında ise Group by Field(s) alanında herhangi bir şey seçmiyorum, if alanında count(), Is alanında >= (büyük ve eşit) işaretini, Threshold kısmında ise 3 yazıyorum ve Contadion Summary alanında istediğim condition’ın oluştuğunu gördüğümde Next ile devam ediyorum.
Fields alanında ise herhangi bir işlem yapmadan Next ile devam ediyorum.
Notifications alanında ise Add Notification seçeneğine tıklıyorum.
Çıkan Çoklu Seçim kutusunda oluşturduğum Mail Notification’ı seçiyorum ardından Done tuşuna bastığımda yukarıdaki gibi eklenmiş alan geliyor. Bu kısmı görünce Next ile devam ediyorum.
Summary alanında yapmış olduğunuz ayarları tekrar kontrol ettikten sonra Create Event Definition tuşuna basıyoruz.
Daha sonra eklemiş olduğumuz Event Definitions’ın sağ tarafında bulunan Show Details üstüne tıklıyoruz. Bu alanda Next ve Last Execution zamanlarınıda görebiliyoruz. İçerisinde değişiklikler yapmak isterseniz ise Edit tuşuna basabilirsiniz.
– Oluşturulan Alert Test İşlemi :
Daha sonra test edebilmek adına Ubuntu cihazıma SSH bağlantısı sağladım ve birden fazla kez yanlış kullanıcı ve parolalar ile bağlantı sağlayıp yukarıdaki gibi logların atılmasını sağladım.
Sonrasında Alerts & Events alanında Alert’imin üretildiğini gördüm. Timestamp tarafında ise bunun ne zaman yapıldığını bildiriyor.
Sonrasında ise mail’iminde geldiğini gördüğümde artık tetiklenen Alert’lerden mail geleceğini doğrulamış oldum.
Bu yazımda bu kadar arkadaşlar, umarım sizler için yararlı olmuştur. Soru ve Görüşlerinizi yorumlar alanından bana iletebilirsiniz. Ayrıca destek olmak isterseniz YouTube üzerinde bulunan SistemDostu kanalıma abone olabilirsiniz. Kolaylıklar dilerim.
