【精选实践】GrayLog下利用PrometheusAlert实现堡垒机绕过告警推送到钉钉群

  • u_2ebce1c3a860

    2022-02-14 23:43:36
  • 数据库开发技术
  • 原创

点击上方"walkingcloud"关注,并选择"星标"公众号

【实践】GrayLog下利用PrometheusAlert实现堡垒机绕过告警推送到钉钉群

GrayLog中使用Prometheus Alert实现钉钉群机器人自动告警

细谈企业网络安全中堡垒机绕过问题 

利用pipeline实现GrayLog中用日志源IP地址区分主机

在以上三篇文章的基础下进一步细化如下两点小功能

如下拓扑所示

(图片可点击放大查看)

1、实现当绕过堡垒机登录Linux服务器时自动告警推送到钉钉机器人

2、GrayLog中用主机名称代替主机IP来区分主机日志

其中第二个功能使用新的方式:GrayLog中的Lookup Tables+PipeLine功能来实现 

具体实现参考如下官方的这个案例

 https://www.graylog.org/post/how-to-use-graylog-lookup-tables

演示环境如下

1、OA服务器:192.168.31.211
2、办公门户服务器:192.168.31.232
3、FTP文件服务器:192.168.31.200
4、Confluence文档服务器:192.168.31.212

GrayLog服务器:192.168.31.127
堡垒机:192.168.31.245

具体步骤如下

1、先创建如下格式的csv文件并修改文件的权限 

hostname_lookuptable.csv
文件格式内容如下
"ipaddr","hostname_CN"
"192.168.31.211","OA服务器_192.168.31.211"
"192.168.31.232","办公门户服务器_192.168.31.232"
"192.168.31.200","FTP文件服务器_192.168.31.200"
"192.168.31.212","Confluence文档服务器_192.168.31.212"
"192.168.31.127","GrayLog服务器_192.168.31.127"
"192.168.31.245","堡垒机_192.168.31.245"

chmod 755 hostname_lookuptable.csv

(图片可点击放大查看)

请使用浏览器的分享功能分享到微信等