上一期通过Wazuh Server把终端日志收集到Graylog中,但是通过Graylog查看这些日志并没有没正确解析成key:value格式,使查看变得困难。
接下来需要对日志存放的格式、索引进行分类处理。通过Graylog内置json extract进行处理
点击日志末尾箭头按钮,选择Create extractor
选择JSON格式,点击Submit
在弹出窗口中把Key/value separator值修改成:
点击Try按钮预览效果
把Extractor title命名成wazuh-json,点击Create extractor
创建完成如下图所示
通过SSH登录服务器,在Graylog上观察日志已经被解析成key:value格式
接着创建告警索引,点击System-Indices
点击右上角Create Index set创建索引
详细配置如下图所示,其中Title以及Description设置成wazuh alerts,Index prefix设置成wazuh-alerts
Index Rotation设置成一个G一个索引,满足20个索引时删除第一个索引,举个例子当wazuh-alerts_21出现时就要删除wazuh-alerts_0,为wazuh-alerts_21存储索引预留空间。
创建完成索引如下图所示
点击查看索引详情
接下来需要创建Stream来把Graylog收到的告警转发到刚才创建的索引中,在Stream页面,点击右上角Create Stream
Title以及Description设置为wazuh alerts,Index Set选择刚才创建的索引wazuh alerts,勾选Remove matches from ‘All messages’ stream,点击Save
创建完成如下图所示,默认处于停止状态
在启动该Stream前还需要对wazuh传来的日志手动打上标记以识别这个数据是wazuh传输的,点击System-Inputs,点击More actions,选择Add static field
添加Field name字段为log_source,Field value字段为wazuh
点击Add field,完成自定义字段添加
查看新接收到日志中已经携带该字段
最后在Stream界面中设置Rule,当日志中带有log_source字段并且值为wazuh的数据会进入该Stream,点击More Actions,选择Quick add rule
在弹出窗口中配置参数,Field字段为log_source,Type字段选择match exactly,value字段为wazuh
配置完成点击Save,点击Start Stream启动Stream,可以看到新接收到日志中日志左下角出现了数据流扭转存储信息
这样就完成了SIEM日志处理的内容,接下来需要对SIEM可视化展示做一些配置,让你一目了然,欢迎订阅收看开源SOC实现(六)-Grafana Dashboard
原文始发于微信公众号(Kali渗透测试教程):开源SOC实现(五)-SIEM日志处理
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论