본문 바로가기
System/Elastic Stack

Logging every shell command to elastic stack

cyuu 2018. 5. 20.

purpose

보안이나, 이력 관리를 위하여 bash  shell 상에서 입력되는 커맨드들을 로그로 관리 하고 , 해당 로그를  elastic stack 을 통하여 관리 

setting

/etc/profile 환경 변수에  history_to_syslog 라는 함수를 만들어 모든 커맨드들을 logger 명령어를 이용 하여 local1.notice 로 전달 한다.

/etc/profile
function history_to_syslog
{
        declare command
        command=$(fc -ln -0)
        if "$command" != "$old_command" ]; then
                who=$(whoami)
                cmd=$(history 1)
                TTY=`tty`
                HISNAME="`basename $TTY`"
                ip=`who |grep pts/${HISNAME} |cut -f 2 -d \(|cut -f 1 -d \)`
 
                #logger -p local1.notice -t bash -i ? $USER : "$command"
                logger -p local1.notice -- IP=$ip USER=$who, PID=$$, PWD=$PWD, CMD=$command
        fi
        old_command=$command
}
trap history_to_syslog DEBUG
 
 
 
..생략 ..


rsyslog 설정을 하여  /var/log/bash_history 파일로 전달 한다 

/etc/rsyslog.conf
.. 생략 ...
local1.notice     /var/log/bash_history

rsyslog 재시작 및 /etc/profile 적용
rsyslog 재시작 및 source
# systemctl restart rsyslog
# source  /etc/profile


/var/log/bash_history 파일에 정상적으로 로그가 남는지 확인 한다.

/var/log/bash_history
2018-05-18T13:38:34.266632+09:00 controller01 root: IP=10.15.1.4 USER=root, PID=30150, PWD=/root, CMD= 240 2018-05-18 13:38:34 ls
2018-05-18T13:38:35.483794+09:00 controller01 root: IP=10.15.1.4 USER=root, PID=30150, PWD=/root, CMD= 241 2018-05-18 13:38:35 ifconfig
2018-05-18T13:38:35.512413+09:00 controller01 root: IP=10.15.1.4 USER=root, PID=30150, PWD=/root, CMD= 241 2018-05-18 13:38:35 ifconfig
2018-05-18T13:38:37.041778+09:00 controller01 root: IP=10.15.1.4 USER=root, PID=30150, PWD=/root, CMD= 241 2018-05-18 13:38:35 ifconfig


해당 /var/log/bash_history 파일 로그를 filebeat 로 전송 할 수 있도록  paths 설정 및 commands 라는 tags를 추가 하여 전송 할 수 있도록 한다.

filebeat.yml
filebeat.prospectors:
- input_type: log
  enabled: true
  paths: /var/log/bash_history
  tags: [ "syslog""commands"]
 
 
..생략...


 logstash 에서는 해당 commands 라는 tags 설정시 아래 match 될 수 있도록 한다.

logstash.conf
if "commands" in [tags] {
        grok {
               
                match => [ "message","%{TIMESTAMP_ISO8601:logdate}%{SPACE}%{GREEDYDATA:hostname}%{SPACE}%{GREEDYDATA:hostname}:%{SPACE}IP=%{IP:client}%{SPACE}USER=%{WORD:user},%{SPACE}PID=%{WORD:pid},%{SPACE}PWD=%{GREEDYDATA:pwd},%{SPACE}CMD=%{GREEDYDATA:cmd}" ]
                add_field => [ "received_at""%{@timestamp}" ]
        add_field => [ "received_from""%{host}" ]
        remove_tag => ['_grokparsefailure']
        }
 
        if "_grokparsefailure" in [tags] {
          drop {}
        }
 
        syslog_pri { }
        }
 
output {
  elasticsearch {
      hosts => "localhost:9200"
  }
}


정상적으로 설정 될 경우 아래와 같이 해당 명령어를 어떠한 ip 에서 host  어느 디렉토리에서 수행 하였는지 확인 할 수있다



반응형
저작자표시

'System > Elastic Stack' 카테고리의 다른 글

Elasticsearch Cluster  (0) 2018.07.25
Logstash Drop filter  (1) 2018.07.22
Elasticsearch5, Logstash5, Kibana5 and Redis (ELKR5 Stack) install CentOS 7  (0) 2016.12.24
Elasticsearch5, Logstash5, and Kibana5 (ELK5 Stack) install CentOS 7  (10) 2016.12.20
netflow 데이터를 이용한 elk 설정  (3) 2016.12.19

'System/Elastic Stack' 관련글

티스토리툴바