เทคนิคการดูว่ามียูสเซอร์อะไรพยายามเข้าหน้าเว็บ Elastix บ้าง
โพสต์แล้ว: 16 ม.ค. 2015 17:22Elastix เก็บบันทึกการล๊อกอินเข้าหน้าเว็บไว้ในไฟล์ /var/log/asterisk/audit.log ครับ เราสามารถดูได้ว่ามีไอพีไหน มียูสเซอร์อะไรเข้ามาหรือพยายามเข้ามาหน้าเว็บบ้าง ตามนี้ครับ
คำสั่ง
หรือจะดูแบบเรียลไทม์ก็ได้
ออกจากคำสั่งนี้กด Control C
ผลลัพธ์
ก็จะเห็นไอพีที่พยายามล๊อกอินเข้าหน้าเว็บ Elastix ของเราครับ สำเร็จหรือไม่สำเร็จ
หรือจะดูย้อนหลังก็ได้นะครับ ในไฟล์ audit.log.0, audit.log.1, ... อยู่ในโฟลเดอร์เดียวกัน
จากข้อมูลนี้เราก็สามารถนำไปต่อยอดได้ เช่น คอนฟิก fail2ban ให้มาเช็คที่ไฟล์ audit.log นี้ ถ้ามี Authentication Failure ก็ให้บล๊อกไอพีนั้นเลย
คำสั่ง
- โค้ด: เลือกทั้งหมด
cat /var/log/elastix/audit.log
หรือจะดูแบบเรียลไทม์ก็ได้
- โค้ด: เลือกทั้งหมด
tail -f /var/log/elastix/audit.log
ออกจากคำสั่งนี้กด Control C
ผลลัพธ์
- โค้ด: เลือกทั้งหมด
[Jan 14 13:20:53] LOGIN admin: Web Interface login successful. Accepted password for admin from 10.1.1.20.
[Jan 16 16:39:00] LOGIN admin: Authentication Failure to Web Interface login. Failed password for admin from 49.229.165.67.
[Jan 16 16:39:32] LOGIN admin: Web Interface login successful. Accepted password for admin from 49.229.165.67.
ก็จะเห็นไอพีที่พยายามล๊อกอินเข้าหน้าเว็บ Elastix ของเราครับ สำเร็จหรือไม่สำเร็จ
หรือจะดูย้อนหลังก็ได้นะครับ ในไฟล์ audit.log.0, audit.log.1, ... อยู่ในโฟลเดอร์เดียวกัน
จากข้อมูลนี้เราก็สามารถนำไปต่อยอดได้ เช่น คอนฟิก fail2ban ให้มาเช็คที่ไฟล์ audit.log นี้ ถ้ามี Authentication Failure ก็ให้บล๊อกไอพีนั้นเลย