Trang chủ khi đăng nhập thành công

Một phần của tài liệu Phòng chống và điều tra tội phạm máy tính: thu thập và phân tích bằng chứng cứ log file (Trang 42)

Bước 3: Cài đặt Logstash CentOS

- Logstash là nơi nhận dữ liệu đầu vào, nó xử lý sau đó chuyển lưu tại Elasticseach. Luồng làm việc của nó phải được cấu hình gồm cấu hình đầu vào input và đầu ra output. Trước tiên cài đặt bằng lệnh:

#yum install logstash –y

Xác định xem cấu hình có xảy ra lỗi hay khơng:

#sudo -u logstash /usr/share/logstash/bin/logstash --path.settings /etc/logstash -t

36

Hình 3. 19: Thơng báo Config Validation Result

- Để kích hoạt và kiểm tra trạng thái của logstash thực hiện câu lệnh:

#systemctl enable logstash #systemctl start logstash #systemctl status logstash

Hình 3. 20: Trạng thái hoạt động của logstash sau khi kích hoạt

Bước 4: Cài đặt Beats/Filebeat Ubuntu

Thực hiện việc thu thập các file log trên Server cài đặt nó, cấu hình để nó gửi tới Logstash. Sử dụng lệnh:

#sudo apt-get install apt-transport-https #sudo apt update

37

Hình 3. 21: Trạng thái hoạt động của filebeat sau khi cài đặt

- Cấu hình cho filebeat sử dụng trình soạn thảo vi hoặc nano tại

/etc/filebeat/filebeat.yml.

- File cấu hình tại /etc/filebeat/filebeat.yml, mở ra chỉnh sửa các nội dung sau:

• Tìm đến mục Elasticsearch output comment lại để không gửi log thẳng đến Elasticsearch

#output.elasticsearch:

# Array of hosts to connect to. # hosts: ["localhost:9200"]

• Tìm đến Logstash output, bỏ các comment để yêu cầu filebeat gửi đến Logstash (địa chỉ dùng là địa chỉ máy centOS:)

output.logstash:

# The Logstash hosts

38

Hình 3. 22: Cho phép filebeat gửi dữ liệu đến logstash, vơ hiệu hóa gửi dữ liệu đến Elasticsearch

- Filebeat có nhiều module tương ứng với loại log nó thu thập, để xem trạng thái các module này thực hiện lệnh

#filebeat modules list

- Sau đó nếu muốn kích hoạt module nào thì thực hiện theo cú pháp, ví dụ kích hoạt system, apache, mysql ...

#filebeat modules enable system #filebeat modules enable apache #filebeat modules enable mysql

39

Hình 3. 23: Danh sách các modules 3.2.3.2. Xem log trong Kibana 3.2.3.2. Xem log trong Kibana

- Sau khi cài đặt một ELK (một trung tâm quản lý log), nó sẽ nhận log từ một server gửi đến bằng Filebeat

- Truy cập vào Kibana theo địa chỉ IP của ELK, nhấn vào phần Discover, chọn mục Index Management của Elasticsearch, xuất hiện các index có tiền tố là filebeat-

*, chính là các index lưu dữ liệu log do Filebeat gửi đến Logstash và Logstash để chuyển

lưu tại Elasticsearch.

40

3.2.3.3. Sử dụng Metasploit để tấn công

- sử dụng Metasploit khai tác lỗ hổng SSH, thực hiện việc Brute-forcing vào máy ubuntu server thông lỗ hổng của SSH.

Hình 3.25: Metasploit có sẵn trên kali linux

- Thực hiện nmap để lấy các cổng dịch vụ đang được mở trên server bằng câu lệnh

#nmap -sV 192.168.220.134

- Xuất hiện các cổng đang hoạt động của server, ở đây sử dụng SSH để thực hiện tấn cơng

- tìm kiếm kiểu tấn cơng phù hợp trong Metasploit, cấu hình để thực hiện cuộc tấn cơng Brute-forcing vào máy ubuntu server

41

Hình 3.26: Cấu hình phù hợp để thực hiện tấn cơng

- Sau khi thực hiện cấu hình, gõ lệnh exploit hoặc run để thực hiện tấn công, Metasploit sẽ sử dụng thư viện mật khẩu có sẵn để tấn cơng dị qt, sẽ dừng lại khi quét được user và password chính xác hoặc quét hết thư viện mật khẩu.

42

Hình 3.27: Q trình dị qt mật khẩu đang được diễn ra

- Khi máy kali thực hiện tấn công vào ubuntu sẽ sinh ra các log, các log này sẽ được ghi lại và chuyển vào vào filebeat (thành phần của ELK stack), sau đó log sẽ được chuyển tiếp đến Logstash để định hình lại và đưa vào db của Elasticsearch ở thời gian thực.

43

3.3. Windows Event Viewer

Event viewer là một cơng cụ tích hợp trong Windows cho phép xem lại các sự kiện đã xảy ra trong hệ thống một cách chi tiết với nhiều tham số cụ thể như: user, time, computer, services… Các sự kiện rời rạc được lọc lại thành những sự kiện giống nhau giúp chúng ta lấy được những thông tin cần thiết một cách nhanh nhất. Trong Event viewer đã phân vùng các sự kiện riêng biệt cho từng ứng dụng, một máy chủ cài đặt mặc định sẽ có ba phân vùng trong event viewer:

- Application - Security - System

Hình 3. 29: Giao diện của Event Viewer trong Windows (win server 2012)

3.3.1. Application log

Application log ghi lại sự kiện của các ứng dụng khác từ các nhà sản xuất khác như symantec hay các ứng dụng mail…Thường thiết lập trong application 32 là mặc định của các ứng dụng nên chỉ có thể đọc nó mà khơng thiết lập được.

44

Hình 3.30: Một bản ghi của Application về một lỗi trong Event Viewer

3.3.2. Security log

Đây là một trong những log quan trọng nhất trong hệ thống, nó ghi lại tồn bộ các thiết lập audit trong group policy. Nhưng trong các thiết lập group policy quan trọng nhất là thiết lập giám sát quá trình login vào hệ thống, truy cập dữ liệu.

45

3.3.3. System Log

System log được thiết lập mặc định của hệ thống giúp xem lại các sự kiện: Bật, tắt, pause, disable, enable các services của hệ thống. Ví như một service bật bị lỗi trong thời điểm nào nó sẽ ghi lại trong system log của event viewer.

Hình 3.32: Một cảnh báo mà system log thu được

Lý do được người dùng WIN-M3BT2EI3DNH \ Administrator cung cấp cho lần này là tắt máy tính đột xuất

3.3.4. Log Properties

Log properties giúp cấu hình dung lượng file log, cách xố các event cũ đi như thế nào, và những tính năng lọc các sự kiện.

46

Hình 3.33: Thiết lập cho security properties

Đây là thiết lập cho security properties: Với file log tên là gì và ở đâu: %SystemRoot%\System32\Winevt\Logs\Security.evtx

Dung lượng tối đa cho file log này là 20480 KB có thể cấu hình lại to hơn hoặc nhỏ hơn, nếu dung lượng file long lớn hơn 20480 KB hệ thống sẽ tự xoá các sự kiện cũ theo thuật tốn First in First out – (vào trước thì ra trước).

3.4. Tổng kết chương 3

Trong chương 3 đã sử dụng cơng cụ Splunk Enterprise để phân tích tệp nhật ký ghi lại các sự kiện sảy ra đối với webserver; Event Viewer tích hợp trong windows để xem lại các sự kiện đã xảy ra trong hệ thống. Triển khai Server ELK để quản lý thu thập log

48

49

TÀI LIỆU THAM KHẢO

[1] https://www.sciencedirect.com/topics/computer-science/application- log?fbclid=IwAR0iFGvpOKSJ8IBccsTd31LmJbdZYw8VYZVMPxiaCUVP8yt8gi6 HqMJVSd0 [2] https://www.xplg.com/what-is-log-analysis-and-why-do-you-need- it/?fbclid=IwAR13ScghDs3F7DlwONAmCTT8R- UXRqXvbKJ5CRtbOWve5vyvjmLSlzPozY0 [3] https://www.sciencedirect.com/topics/computer-science/security-event- log?fbclid=IwAR3rNQeT0CKLqdmQG5liNX2HAsfPYIZ1wDW0gFmsC51VZ8DA8 2DuvPZclqw [4]http://lab.dnict.vn/Resource/Courses/UnZip/149/201745_1/Resources/Dao%20tao %20phan%20tich%20Logfile%20va%20cong%20cu%20phong%20chong%20ATAN TT.pdf?fbclid=IwAR3xJTGxLeu0xFB6BHLH1bRwVDxeKQeTSimXe- 03own1okDuULICM-EG3XI [5]https://en.ryte.com/wiki/Log_File_Analysis?fbclid=IwAR2UianyTlEy52KfbXLsZ PlYLqjd0U8qfyEvtDVGjyEx0K200iGFJ_3iFpY

50

Một phần của tài liệu Phòng chống và điều tra tội phạm máy tính: thu thập và phân tích bằng chứng cứ log file (Trang 42)

Tải bản đầy đủ (PDF)

(57 trang)