玩转usbserver之usbserver日志报警

一、 graylog 介绍

graylog是一个简单易用、功能较全面的日志管理工具，graylog也采用Elasticsearch作为存储和索引以保障性能，MongoDB用来存储少量的自身配置信息，master-node模式具有很好的扩展性，UI上自带的基础查询与分析功能比较实用且高效，支持LDAP、权限控制并有丰富的日志类型和标准（如syslog，GELF）并支持基于日志的报警。

二、 usbserver 借助graylog 能实现哪些功能

借助graylog 强大的收集和分析能力，usbserver 实现了如下功能

1、基础日志功能

1.1 ukey 的插入/拔出，连接/断开，使用中发送/接收的详细数据包

1.2 客户端实际ukey的连接，断开状态的变化

1.3 集中管理的用户登录/退出，使用ukey 的记录

2、定制分析能力

在基础日志之上，借助graylog 强大的查询分析能力，可以定制实现

2.1 ukey 断线报警，断线信息可通过短信，邮件发送，或者集成到钉钉，企业微信等用户自己的系统

2.2 痕迹分析，记录U盾的全部使用痕迹，可供查询

2.3 行为统计分析：根据用户场景设备分析条目，对人员行为进行分析

2.4风险预警：根据设置的预警条件触发预警信息推送

2.5 审计功能，根据用户的登录，使用ukey 的记录，对正常申请使用、违规超时使用、不合规使用进行审计

三、 graylog 配置

graylog 安装见附录,安装完成后，我们配置12201 端口作为输入

点击system->inputs, 选择select input->GELF HTTP（GELF UDP）->lanch new input,端口都选择在12201

usbserver 配置

3.1 客户端usb over network client配置

客户端没有配置界面，需要通过api 接口进行配置

安装最新版本的usb专业客户端，启动专业客户端

专业客户端开通了8001 端口作为配置端口，在浏览器中打开
http://localhost:8001

在调试界面修改接口为/api/setting/usbconfig

{"graylog_server":"udp://192.168.2.238:12201"}

其中192.168.2.238修改为服务器ip, 12201 是端口

然后退出重新启动客户端

3.2 集中管理配置

打开管理后台，admin/config/ofcsetting

通过nacos 配置

3.3 服务器端配置

首先授权开通了日志功能

在日志管理配置上面的参数

附录 g raylog 安装

用docker-compose 安装最方便，docker-compose.yml 配置如下，安装完成后通过浏览器http://ip:9000访问

1. version: '3'
3. services:
4. # MongoDB: https://hub.docker.com/_/mongo/
5. mongo:
6. image: mongo:5.0.13
7. container_name: graylog_mongo
8. networks:
9. • graylog
10. # Elasticsearch: https://www.elastic.co/guide/en/elasticsearch/reference/7.10/docker.html
11. elasticsearch:
12. image: docker.elastic.co/elasticsearch/elasticsearch-oss:7.10.2
13. container_name: graylog_elasticsearch
14. environment:
15. • http.host=0.0.0.0
16. • transport.host=localhost
17. • network.host=0.0.0.0
18. • "ES_JAVA_OPTS=-Dlog4j2.formatMsgNoLookups=true -Xms512m -Xmx512m"
19. ulimits:
20. memlock:
21. soft: -1
22. hard: -1
23. deploy:
24. resources:
25. limits:
26. memory: 1g
27. networks:
28. • graylog
29. # Graylog: https://hub.docker.com/r/graylog/graylog/
30. graylog:
31. image: graylog/graylog:6.0.2
32. container_name: graylog
33. volumes:
34. # Mount local configuration directory into Docker container
35. • ./config:/usr/share/graylog/data/config
36. environment:
37. # CHANGE ME (must be at least 16 characters)!
38. • GRAYLOG_PASSWORD_SECRET=somepasswordpepper
39. # Password: admin
40. • GRAYLOG_ROOT_PASSWORD_SHA2=8c6976e5b5410415bde908bd4dee15dfb167a9c873fc4bb8a81f6f2ab448a918
41. • GRAYLOG_HTTP_EXTERNAL_URI=http://127.0.0.1:9100/
42. entrypoint: /usr/bin/tini -- wait-for-it elasticsearch:9200 -- /docker-entrypoint.sh
43. networks:
44. • graylog
45. restart: always
46. depends_on:
47. • mongo
48. • elasticsearch
49. ports:
50. # Graylog web interface and REST API
51. • 9000:9000
52. # Syslog TCP
53. • 1514:1514
54. # Syslog UDP
55. • 1514:1514/udp
56. # GELF TCP
57. • 12201:12201
58. # GELF UDP
59. • 12201:12201/udp
60. networks:
61. graylog:
62. driver: bridge