elastalert의 rule 설정하는 방법입니다.
UTM 로그
elastalert 룰
root@syslogserver:/opt/elastalert/rules# cat ./firewall_login_success.yaml
name: firewall_console_login
type: any
index: logstash-fg-*
filter:
- query:
query_string:
query: logdesc:"Admin login successful" AND action:"login"
doc_type: _doc
alert:
- "slack"
slack:
# 슬랙 웹훅 주소
slack_webhook_url: "https://hooks.slack.com/services/################/#############/###########"
# 슬랙 채널에 메시지 전달할 이름
slack_username_override: "ElastAlert-Bot"
# 슬랙 메시지를 보낼 채널
slack_channel_override: "#security_alert"
# 슬랙 메시지에 타이틀 지정
# 지정하지 않을 경우 rule의 절대 경로 명이 찍힘: /opt/elastalert/ruls/ap_login_fail.yaml
slack_title: FIREWALL_LOGIN_SUCCESS
# 슬랙 메시지 색
slack_msg_color: "good"
alert_text: "FIREWALL_CONSOLE_LOGIN: 접속시간: {0} / 접속계정: {1} / 접속자IP: {2}"
alert_text_type: "alert_text_only"
alert_text_args: ["syslog_timestamp", "user", "srcip"]
root@syslogserver:/opt/elastalert/rules#
슬랙 메시지
'기술 노트 > ubuntu' 카테고리의 다른 글
| sudo 권한 부여하기 (0) | 2024.03.11 |
|---|---|
| snmp-exporter에 MIB 등록하기 (0) | 2024.02.07 |
| elastalert2 설치하기 (0) | 2024.01.15 |
| grafana 알람 설정 (0) | 2024.01.08 |
| apt로 grafana 설치하기 (1) | 2024.01.08 |