Graylog: Auditoria e

Captura de Logs
 Conteúdo Programático
Aula 01 - Conhecendo o Graylog;
Aula 02 - Componentes e pré-requisitos do Graylog;
Aula 03 - Instalação do Elastic e MongoDB;
Aula 04 - Instalação e configuração do Graylog2;
Aula 05 - Configuração de captura Graylog2, Rsyslog e NXLog;
Aula 06 - Trabalhando com dashboards no Graylog2;
Aula 07 - Trabalhando com filtros no Graylog2;
Aula 08 - Trabalhando com notificações no Graylog2.

Graylog: Auditoria e Captura de Logs

 Conteúdo Programático
Aula 08 - Trabalhando com notificações no Graylog2.

O que são streams no Graylog2?;

Configurando streams;
Configurando e-mail remetente no Graylog;
Configurando conta do Gmail.

Graylog: Auditoria e Captura de Logs

 O que são streams no Graylog2?
O stream no Graylog é um mecanismo para encaminhar notificações em
tempo real, enquanto as mensagens de log ainda são processadas. O
próprio administrador define regras que instruem o Graylog quais tipos de
mensagem serão enviadas.
Além de alertas de notificações, através dos streams é possível
reencaminhar mensagens de log, sempre atendendo as regras que foram
criadas pelo administrador.

Graylog: Auditoria e Captura de Logs

 Configurando streams
Para criar um stream entre na aba Streams, e clique no botão Create
Stream.

Graylog: Auditoria e Captura de Logs

 Configurando streams
Na tela de criação dê um nome ao stream no campo Title, e uma
descrição no campo Description. Depois clique no botão Save.

Graylog: Auditoria e Captura de Logs

 Configurando streams
Em Manage Rules pode ser configurado as regras de streams.
Em Manage Outputs pode ser configurado o encaminhamento de
mensagens de streams para outros locais, inclusive para outros servidores
Graylog.
Em Manage Alerts pode ser configurado alertas de notificação de acordo
com limites pré-definidos.

Graylog: Auditoria e Captura de Logs

 Configurando streams
Na tela de configuração de regras, a opção Load a message to test rules
pode ser usada para testar as regras, e logo em seguida será necessário
escolher um tipo de regra em Manage stream rules, e clicar no botão
Add stream rule.

Graylog: Auditoria e Captura de Logs

 Configurando streams
Na tela de criação de regras existem 7 tipos, cada tipo pode ser
preenchido de uma determinada forma. Depois de preencher a tela clique
em Save.

Graylog: Auditoria e Captura de Logs

 Configurando streams
Na tela de configuração de alertas será necessário realizar várias
configurações, a primeira será escolher uma das três condições de
alertas, Field Content Value Alert Condition, Field Value Alert
Condition ou Message Count Alert Condition, e clique no botão Add
alert condition.

Graylog: Auditoria e Captura de Logs

 Configurando streams
Preencha a tela de condição conforme a necessidade.

Graylog: Auditoria e Captura de Logs

 Configurando streams
Preencha a tela de condição conforme a necessidade.

Graylog: Auditoria e Captura de Logs

 Configurando streams
Preencha a tela de condição conforme a necessidade.

Graylog: Auditoria e Captura de Logs

 Configurando streams
A segunda etapa de configuração do alerta, será o tipo de retorno de
alerta. É possível escolher entre HTTP Alarm Callback ou Email Alert
Callback. Depois de escolher clique no botão Add callback.

Graylog: Auditoria e Captura de Logs

 Configurando streams
Na tela que abrir preencha o campo Sender com o e-mail remetente, os
outros campos podem ser preenchidos conforme necessário.

Graylog: Auditoria e Captura de Logs

 Configurando streams
A terceira etapa de configuração do alerta, será adicionar os usuários e e-
mails que receberam os alertas.

Graylog: Auditoria e Captura de Logs

 Configurando streams
Em Triggered alerts serão exibidos os alertas acionados, e através deles
é possível ver o retorno de e-mail ou HTTP.

Graylog: Auditoria e Captura de Logs

 Configurando streams
Depois de configurar as 3 etapas da configuração de alerta será
necessário iniciar o Stream, para isso clique no botão Start Stream.
Também é possível editar, clonar e deletar o stream, além de criar uma
nova regra.

Graylog: Auditoria e Captura de Logs

 Configurando e-mail remetente no
Graylog
Acesse o arquivo de configuração do Graylog Server
# vim /etc/graylog/server/server.conf

Graylog: Auditoria e Captura de Logs

 Configurando e-mail remetente no
Graylog
Edite os parâmetros de configuração do e-mail
Usando servidor do Google

Graylog: Auditoria e Captura de Logs

 Configurando e-mail remetente no
Graylog
Reinicie o serviço do Graylog Server
# systemctl restart graylog-server.service

Graylog: Auditoria e Captura de Logs

 Configurando conta do Gmail
Após tudo configurado se for realizado um teste de envio de e-mail
pelo Graylog, o teste falhará.

Graylog: Auditoria e Captura de Logs

 Configurando conta do Gmail
A conta configurada para enviar os alertas, receberá um e-mail
alertando que ocorreu uma tentativa de login bloqueada.

Graylog: Auditoria e Captura de Logs

 Configurando conta do Gmail
No Gmail, clique no botão Minha conta para entrar nas opções de
conta do e-mail, navegue até a aba de Login e segurança, após
isso clique em Aplicativos e sites conectados, e por último ative a
opção Permitir aplicativos menos seguros.

Graylog: Auditoria e Captura de Logs

 Configurando conta do Gmail
Exemplo de teste de e-mail enviado pelo Graylog.

Graylog: Auditoria e Captura de Logs

Graylog: Auditoria e
Captura de Logs
Dúvidas, criticas, sugestões ou elogios
maikilsoares@gmail.com