최근 대부분 OS는 root로의 직접 로그인을 차단되어 있습니다.
해당 root 로그인 알람은 su 명령어를 통한 root 로그인에 대한 알람 설정입니다.
OS 로그인 알람 설정은 유지하며, Elastalert 룰만 추가하면 됩니다.
OS 로그인 알람 설정은 아래 페이지를 참고해 주세요.
https://dirt-spoon.tistory.com/84
elastalert 룰
name: server_root_login
type: any
index: logstash-tmpsyslogsvr*
filter:
- query:
query_string:
query: "USER:root AND COMMAND:/bin/su"
doc_type: _doc
alert:
- "slack"
slack:
# 슬랙 웹훅 주소
slack_webhook_url: "https://hooks.slack.com/services/--------------------------------------"
# 슬랙 채널에 메시지 전달할 이름
slack_username_override: "ElastAlert-Bot"
# 슬랙 메시지를 보낼 채널
slack_channel_override: "#security_alert"
# 슬랙 메시지에 타이틀 지정
# 지정하지 않을 경우 rule의 절대 경로 명이 찍힘: /opt/elastalert/ruls/ap_login_fail.yaml
slack_title: TMPLOGSVR_ROOT_LOGIN
# 슬랙 메시지 색
slack_msg_color: "good"
alert_text: "TMPLOGSVR_ROOT_LOGIN: 접속시간: {0} / 접속계정: {1}"
alert_text_type: "alert_text_only"
알람 확인
'기술 노트 > elastalert' 카테고리의 다른 글
| OS 로그인 알람 (0) | 2023.04.10 |
|---|---|
| elastalert 웹 관리 방식 사용 시 (0) | 2023.03.17 |
| kibana에서 elastalert 룰 설정하기 (0) | 2023.03.17 |
| kibana에서 elastalert 사용하기 (0) | 2023.03.17 |
| elastalert 실행하기 (0) | 2023.03.17 |