Dalam tutorial ini, Anda akan belajar cara memvisualisasikan log aktivitas user WordPress di stack ELK. WordPress tidak menyediakan cara mudah untuk memiliki gambaran umum aktivitas user atau mencatat aktivitas user apa pun di file log server. Logging sangat penting dalam mendeteksi, mencegah atau meminimalkan dampak pelanggaran keamanan. Ada seribu berbagai plugin WordPress yang telah dikembangkan untuk mengaktifkan logging WordPress. Beberapa plugin ini menyediakan kemampuan untuk mencatat log aktivitas user WordPress apa pun pada file log sistem lokal untuk analisis yang mudah. Namun dalam pengaturan ini, kami menggunakan plugin Sucuri WordPress untuk mengaktifkan WordPress logging ke file sistem lokal yang kemudian akan kami baca dengan Filebeat dan memprosesnya dengan Logstash sebelum mengirim data ke Elasticsearch untuk pengindeksan dan kemudian memvisualisasikan pada interface Kibana. Show Visualisasikan Log Aktivitas Pengguna WordPress di ELK StackInstal dan Siapkan WordPressTentu saja Anda harus memiliki WordPress yang sudah berjalan jika Anda di sini. Namun, Anda mungkin juga ingin memeriksa tautan di bawah tentang cara menginstal dan mengatur situs WordPress; Instal WordPress terbaru dengan LAMP Stack di Ubuntu 20.04 Instal WordPress dengan Nginx dan MySQL 8 di CentOS 8 Instal WordPress 5 dengan Nginx di Debian 10 Buster Instal Plugin Audit Keamanan WordPress/Pemantau Integritas FileSeperti yang dinyatakan di atas, ada seribu plugin yang dapat digunakan untuk mengaudit dan mencatat setiap aktivitas user WordPress. Anda dapat menggunakan plugin apa pun dari referensi Anda. Tapi agar kita bisa berada di halaman yang sama, telah menggunakan plugin Sucuri dalam pengaturan ini. Kami tidak dapat menyelam lebih dalam ke instalasi dan pengaturan plugin Sucuri. Anda dapat mengunjungi halaman instalasi plugin Sucuri untuk itu. Sekarang dengan asumsi Anda telah menginstal dan mengaktifkan plugin Anda, buat file log sistem lokal tempat menulis acara audit WordPress. Kami menggunakan, /var/log/wordpress/kifarunix-demo.com.log, dalam pengaturan ini. Mungkin berbeda dalam kasus Anda. mkdir /var/log/wordpress/kifarunix-demo.com.log Tetapkan kepemilikan yang tepat dari direktori logging. Misalnya, atur user dan grup ke www-dataatau nginxbergantung pada server HTTP yang Anda gunakan. chown -R www-data: /var/log/wordpress Selanjutnya, navigasikan ke Sucuri Security > Settings > General Settings > Log Exporter dan masukkan path lengkap ke file logging audit WordPress Anda, dalam pengaturan ini kami menggunakan /var/log/wordpress/kifarunix-demo.com.log. Setelah Anda memasuki jalur, klik Submit untuk menyimpan dan membuat file log. Mulai sekarang, aktivitas WordPress apa pun dicatat ke /var/log/wordpress/kifarunix-demo.com.log. Hanya untuk menunjukkan bagaimana Sucuri melakukan logging audit; tail -f /var/log/wordpress/kifarunix-demo.com.log Upaya login yang berhasil dan gagal ke situs WordPress; 2020-11-12 04:15:10 WordPressAudit kifarunix-demo.com [email protected] : Error: 192.168.57.1; User authentication failed: demouser 2020-11-12 04:15:24 WordPressAudit kifarunix-demo.com [email protected] : Notice: 192.168.57.1; User authentication succeeded: gentoo aktivasi dan log penonaktifan plugin WordPress; 2020-11-12 04:17:04 WordPressAudit kifarunix-demo.com [email protected] : Warning: gentoo, 192.168.57.1; Plugin activated: Hello Dolly (v1.7.2; hello.php) 2020-11-12 04:17:13 WordPressAudit kifarunix-demo.com [email protected] : Warning: gentoo, 192.168.57.1; Plugin deactivated: Hello Dolly (v1.7.2; hello.php) Log Manajemen Postingan Blog WordPress; Draf posting/halaman baru; 2020-11-12 04:30:02 WordPressAudit kifarunix-demo.com [email protected] : Notice: gentoo, 192.168.57.1; Post status has been changed; details: ID: 5,Old status: auto-draft,New status: draft,Title: My new post 2020-11-12 04:45:53 WordPressAudit kifarunix-demo.com [email protected] : Notice: gentoo, 192.168.57.1; Page status has been changed; details: ID: 9,Old status: auto-draft,New status: draft,Title: sample page Memperbarui draft posting/halaman yang ada; 2020-11-12 04:31:22 WordPressAudit kifarunix-demo.com [email protected] : Notice: gentoo, 192.168.57.1; Revision status has been changed; details: ID: 7,Old status: new,New status: inherit,Title: My new post 2020-11-12 04:47:16 WordPressAudit kifarunix-demo.com [email protected] : Notice: gentoo, 192.168.57.1; Revision status has been changed; details: ID: 11,Old status: new,New status: inherit,Title: sample page Publikasikan posting/halaman blog; 2020-11-12 04:32:49 WordPressAudit kifarunix-demo.com [email protected] : Notice: gentoo, 192.168.57.1; Post status has been changed; details: ID: 5,Old status: draft,New status: publish,Title: My new post 2020-11-12 04:32:49 WordPressAudit kifarunix-demo.com [email protected] : Notice: gentoo, 192.168.57.1; Post was created; ID: 5; name: My new post 2020-11-12 04:47:49 WordPressAudit kifarunix-demo.com [email protected] : Notice: gentoo, 192.168.57.1; Page status has been changed; details: ID: 9,Old status: draft,New status: publish,Title: sample page 2020-11-12 04:47:49 WordPressAudit kifarunix-demo.com [email protected] : Notice: gentoo, 192.168.57.1; Page was created; ID: 9; name: sample page Hapus posting blog yang diterbitkan; 2020-11-12 04:33:54 WordPressAudit kifarunix-demo.com [email protected] : Notice: gentoo, 192.168.57.1; Post status has been changed; details: ID: 5,Old status: publish,New status: trash,Title: My new post 2020-11-12 04:48:24 WordPressAudit kifarunix-demo.com [email protected] : Notice: gentoo, 192.168.57.1; Page status has been changed; details: ID: 9,Old status: publish,New status: trash,Title: sample page Pulihkan pos yang dibuang; 2020-11-12 04:35:04 WordPressAudit kifarunix-demo.com [email protected] : Notice: gentoo, 192.168.57.1; Post status has been changed; details: ID: 5,Old status: trash,New status: publish,Title: My new post Draf posting blog yang diterbitkan; chown -R www-data: /var/log/wordpress0 Pembuatan Akun Pengguna; chown -R www-data: /var/log/wordpress1 perubahan akun user; chown -R www-data: /var/log/wordpress2 penghapusan Akun Pengguna; chown -R www-data: /var/log/wordpress3 Unggah berkas; chown -R www-data: /var/log/wordpress4 Penghapusan berkas; chown -R www-data: /var/log/wordpress5 Aktivasi Tema; chown -R www-data: /var/log/wordpress6 Perubahan widget; chown -R www-data: /var/log/wordpress7 Dan daftarnya terus berlanjut. Visualisasikan Log Aktivitas Pengguna WordPress di ELK StackDengan semua yang dikatakan dan dilakukan, kita perlu memvisualisasikan log aktivitas user WordPress di stack ELK sekarang setelah log kita ditulis ke file log lokal server. Dalam pengaturan ini, kami akan mengumpulkan log menggunakan Filebeat dan mengirimkannya ke Logstash di mana kami akan memproses lebih lanjut untuk mengekstrak bidang log tertentu setelah itu dikirim ke Elasticsearch untuk penyimpanan dan pengindeksan dan karenanya visualisasi di Kibana. Ikuti tautan di bawah ini untuk menginstal dan mengatur Filebeat serta stack ELK; Instal dan Siapkan ELK StackInstal ELK Stack di Ubuntu 20.04 Menginstal ELK Stack di CentOS 8 Konfigurasikan Logstash untuk Memproses Log Aktivitas Pengguna WordPressDengan asumsi Anda sudah menyiapkan stack ELK, Anda perlu mengonfigurasi Logstash untuk menerima log aktivitas user WordPress dan memprosesnya. Pipa pemrosesan data logstash memiliki tiga bagian;
Anda dapat membaca lebih lanjut tentang Pipa Logstash di sini. Di bawah ini adalah file konfigurasi Logstash kami dengan input Filebeat, filter grok untuk memproses aktivitas log WordPress dan output Elasticsearch yang ditentukan. chown -R www-data: /var/log/wordpress8 chown -R www-data: /var/log/wordpress9 Jangan ragu untuk menyesuaikan pola grok sesuai dengan kebutuhan Anda. Anda dapat menggunakan Kibana Grok Debugger (Kibana > Dev Tools > Grok Debugger) atau Herokuapp Grok Debugger untuk membuat pola grok Anda. Jika Anda perlu men-debug Logstash Grok Filters untuk mengonfirmasi bahwa mereka benar-benar dapat mengurai log Anda ke bidang yang diperlukan, lihat tautan di bawah tentang cara men-debug filter Logstash Grok. Cara Men-debug Filter Logstash Grok Uji Konfigurasi LogstashSetelah Anda selesai dengan konfigurasi, jalankan perintah di bawah ini untuk memverifikasi konfigurasi Logstash sebelum Anda dapat memulainya. tail -f /var/log/wordpress/kifarunix-demo.com.log0 tail -f /var/log/wordpress/kifarunix-demo.com.log1 Nah, jika Anda mendapatkan Configuration OK maka Anda baik untuk pergi. Menjalankan LogstashSekarang, mulai dan aktifkan logstash untuk dijalankan pada boot sistem; tail -f /var/log/wordpress/kifarunix-demo.com.log2 Periksa statusnya; tail -f /var/log/wordpress/kifarunix-demo.com.log3 Verifikasi port dibuka; tail -f /var/log/wordpress/kifarunix-demo.com.log4 tail -f /var/log/wordpress/kifarunix-demo.com.log5 Buka port pada firewall untuk memungkinkan penghapusan ketukan terhubung; Pada turunan berbasis RHEL; tail -f /var/log/wordpress/kifarunix-demo.com.log6 tail -f /var/log/wordpress/kifarunix-demo.com.log7 Pada turunan berbasis Debian; tail -f /var/log/wordpress/kifarunix-demo.com.log8 Pada IPtables; tail -f /var/log/wordpress/kifarunix-demo.com.log9 Instal dan Atur FilebeatInstal dan Konfigurasi Filebeat di CentOS 8 Instal Filebeat di Fedora 30/Fedora 29/CentOS 7 Instal dan Konfigurasi Filebeat 7 di Ubuntu 18.04/Debian 9.8 Konfigurasikan FilebeatDengan asumsi Anda telah menginstal Filebeat dan berjalan di server yang menjalankan WordPress, Anda dapat mengonfigurasinya untuk membaca log aktivitas user WordPress sebagai berikut. Dalam pengaturan ini, plugin telah dikonfigurasi untuk menulis log aktivitas user WordPress ke file lokal,/var/log/wordpress/kifarunix-demo.com.log. Buka konfigurasi Filebeat untuk mengedit; 2020-11-12 04:15:10 WordPressAudit kifarunix-demo.com [email protected] : Error: 192.168.57.1; User authentication failed: demouser 2020-11-12 04:15:24 WordPressAudit kifarunix-demo.com [email protected] : Notice: 192.168.57.1; User authentication succeeded: gentoo0 Aktifkan log jenis input Filebeat dan konfigurasikan untuk membaca file log aktivitas user WordPress; 2020-11-12 04:15:10 WordPressAudit kifarunix-demo.com [email protected] : Error: 192.168.57.1; User authentication failed: demouser 2020-11-12 04:15:24 WordPressAudit kifarunix-demo.com [email protected] : Notice: 192.168.57.1; User authentication succeeded: gentoo1 Konfigurasikan Filebeat untuk mengirim log ke Logstash alih-alih Elasticsearch. 2020-11-12 04:15:10 WordPressAudit kifarunix-demo.com [email protected] : Error: 192.168.57.1; User authentication failed: demouser 2020-11-12 04:15:24 WordPressAudit kifarunix-demo.com [email protected] : Notice: 192.168.57.1; User authentication succeeded: gentoo2 Simpan dan keluar dari file konfigurasi. Pastikan Anda dapat terhubung ke Logstash Port 5044/tcp; 2020-11-12 04:15:10 WordPressAudit kifarunix-demo.com [email protected] : Error: 192.168.57.1; User authentication failed: demouser 2020-11-12 04:15:24 WordPressAudit kifarunix-demo.com [email protected] : Notice: 192.168.57.1; User authentication succeeded: gentoo3 2020-11-12 04:15:10 WordPressAudit kifarunix-demo.com [email protected] : Error: 192.168.57.1; User authentication failed: demouser 2020-11-12 04:15:24 WordPressAudit kifarunix-demo.com [email protected] : Notice: 192.168.57.1; User authentication succeeded: gentoo4 Verifikasi Konfigurasi FilebeatJalankan Filebeat di latar depan untuk mengarahkan output ke error standar sebagai gantinya untuk memeriksa apakah itu terhubung ke Logstash dengan sukses atau tidak sebelum Anda dapat memulainya. 2020-11-12 04:15:10 WordPressAudit kifarunix-demo.com [email protected] : Error: 192.168.57.1; User authentication failed: demouser 2020-11-12 04:15:24 WordPressAudit kifarunix-demo.com [email protected] : Notice: 192.168.57.1; User authentication succeeded: gentoo5 2020-11-12 04:15:10 WordPressAudit kifarunix-demo.com [email protected] : Error: 192.168.57.1; User authentication failed: demouser 2020-11-12 04:15:24 WordPressAudit kifarunix-demo.com [email protected] : Notice: 192.168.57.1; User authentication succeeded: gentoo6 Jika Anda melihat garis seperti Connection to backoff(async(tcp://192.168.57.30:5044)) established, maka semua jika baik-baik saja. Lanjutkan untuk memulai dan aktifkan filebeat untuk berjalan pada boot sistem; 2020-11-12 04:15:10 WordPressAudit kifarunix-demo.com [email protected] : Error: 192.168.57.1; User authentication failed: demouser 2020-11-12 04:15:24 WordPressAudit kifarunix-demo.com [email protected] : Notice: 192.168.57.1; User authentication succeeded: gentoo7 Visualisasikan Log Aktivitas Pengguna WordPress di ELK StackSelanjutnya, verifikasi penerimaan data Elasticsearch dari Logstash dan buat indeks Kibana untuk memungkinkan Anda memvisualisasikan log aktivitas user WordPress di stack ELK. Anda dapat memeriksa panduan ini tentang cara membuat indeks Kibana; Buat Indeks Kibana untuk Memvisualisasikan Data Peristiwa Selanjutnya, lakukan beberapa aktivitas situs WordPress dan Anda seharusnya dapat melihat acara yang diisi di Kibana; Berdasarkan bidang yang Diekstrak, Anda dapat membuat dasbor visualisasi. Di bawah ini adalah contoh dasbor; Itu hanyalah contoh dasbor yang dapat kami buat dalam panduan ini sehubungan dengan aktivitas user WordPress berdasarkan log yang dihasilkan oleh plugin Sucuri. Anda dapat melakukan lebih banyak, :). Dengan itu, kita sampai di akhir tutorial dasar tentang cara memvisualisasikan log aktivitas user WordPress di ELK Stack. Untuk saran/komentar tulis di kolom komentar. Jika tidak, nikmatilah! |