Scribd
Upload
13 views3 pages

Lab Module 10 - F2: Index Security "Failed Password" - Rex "Failed Password For (? ( ) +) " - Search User Admin

Tài liệu hướng dẫn cách gán nhãn và tìm kiếm trong hệ thống quản lý sự kiện. Nó bao gồm việc tạo tag cho người dùng đặc quyền và tìm kiếm theo tag đó, cũng như tạo loại sự kiện cho các lỗi HTTP lớn hơn 500. Các bước cụ thể được mô tả cho từng tác vụ, bao gồm cách sử dụng lệnh tìm kiếm và quản lý tag/event type.

Uploaded by

Nguyen The Phuong (K18 CT)
Copyright
© © All Rights Reserved
We take content rights seriously. If you suspect this is your content, claim it here.
Available Formats
Download as PDF, TXT or read online on Scribd
13 views3 pages

Lab Module 10 - F2: Index Security "Failed Password" - Rex "Failed Password For (? ( ) +) " - Search User Admin

Tài liệu hướng dẫn cách gán nhãn và tìm kiếm trong hệ thống quản lý sự kiện. Nó bao gồm việc tạo tag cho người dùng đặc quyền và tìm kiếm theo tag đó, cũng như tạo loại sự kiện cho các lỗi HTTP lớn hơn 500. Các bước cụ thể được mô tả cho từng tác vụ, bao gồm cách sử dụng lệnh tìm kiếm và quản lý tag/event type.

Uploaded by

Nguyen The Phuong (K18 CT)
Copyright
© © All Rights Reserved
We take content rights seriously. If you suspect this is your content, claim it here.
Available Formats
Download as PDF, TXT or read online on Scribd

LAB MODULE 10 – F2

- Gắn nhãn cho giá trị field giúp gộp nhóm các giá trị field lại (ví dụ: các user đặc
quyền, IP nguy hiểm…) đơn giản hóa tìm kiếm và tăng tính tái sử dụng.
- Gán tên cho câu lệnh tìm kiếm là một search có tên, dùng để tái sử dụng, phân loại,
gắn tag hoặc ưu tiên. Có thể dùng để highlight màu, thống kê, hoặc làm input cho
alert/dashboard.
Task 1: Tạo Tag privileged_user cho các user đặc quyền
- Tìm kiếm thủ công bằng _raw (do field user không có sẵn):

index=security "Failed password" | rex "Failed password for (?<user>[^ ]+)" | search
user=*admin*

- Mở rộng một sự kiện > hover vào field user (vd: admin, itmadmin…)
> Click mũi tên ⏷ > Edit Tags.

- Gán tag
- Vào Settings > Tags > List by tag name để kiểm tra hoặc chỉnh sửa lại danh sách
user/tag nếu cần.

Task 2: Tìm kiếm theo tag privileged_user

- Tìm các failed login liên quan đến user đặc quyền (dùng tag thay vì tên cụ thể).
index=security tag=privileged_user
Task 3: Tạo Event Type web_error cho các lỗi HTTP > 500
- Chạy tìm kiếm:

(index=web sourcetype=access_combined status>500)


OR (index=network sourcetype=cisco_wsa_squid status>500)

- Nhấn Save As > Event Type.


Cấu hình:
o Name: web_error
o Priority: 1 (hoặc giữ mặc định)
o Tag (tùy chọn): error

- Kiểm tra lại bằng lệnh eventtype=web_error


- Vào Settings > Event types để chỉnh sửa hoặc xóa nếu cần

You might also like