Graylog MQTT Projekt: Unterschied zwischen den Versionen

Schulungsprojekt: SIEM, IoT und Industrie 4.0 mit Graylog und Mosquitto

Für ein Schulungsprojekt zu SIEM, IoT und Industrie 4.0 ist Graylog in Kombination mit einem MQTT-Broker wie Mosquitto ideal, da praktische Erfahrungen in der Überwachung und Analyse von IoT-Datenströmen gesammelt werden können. Hier ist ein strukturierter Ansatz, um die Integration sinnvoll aufzubauen und Themen für die Schulung abzudecken:

Schulungsziele und Szenarien

• Überwachung von IoT-Events: Zeigen, wie man Verbindungs- und Authentifizierungsereignisse des MQTT-Brokers überwacht. Diese Logs geben Einblick in die Verbindungssicherheit und das Verhalten der Clients.

• Erkennung von Anomalien: Demonstriere die Identifikation ungewöhnlicher Aktivitäten, wie z.B. hohe Nachrichtenfrequenz, unerwartete Verbindungsversuche oder missbräuchliches Publishing. Hierbei wird gezeigt, wie wichtig die Anomalieerkennung für Industrie 4.0-Systeme ist.

• Reaktions- und Alarmierungsmechanismen: Erstelle in Graylog Regeln und Alarme für verdächtige Aktivitäten, um die Bedeutung proaktiver Sicherheitsüberwachung zu verdeutlichen.

• Datenspeicherung und Analyse: Nutze die Elasticsearch-Integration von Graylog zur Analyse und Darstellung von Daten über Zeitreihen. Das ist besonders relevant, um IoT-Daten langfristig auszuwerten und Trends zu erkennen.

Empfohlene Schritte für das Projekt

Mosquitto einrichten und konfigurieren

• Grundkonfiguration für Mosquitto zur Authentifizierung und zum Loggen der Ereignisse festlegen.

Graylog installieren und anpassen

• Graylog auf dem Server installieren, zusammen mit Elasticsearch und MongoDB, und die Anbindung für MQTT-Logs vorbereiten.

Logdaten senden und visualisieren

• Die Logs von Mosquitto an Graylog weiterleiten, um Verbindungen, Abmeldungen, und Fehler detailliert zu erfassen.
• Eine Beispielvisualisierung erstellen, um typische IoT-Events darzustellen.

Alarmierung und Anomalieerkennung in Graylog einrichten

• Alarme für verdächtige oder fehlerhafte Aktivitäten einrichten (z. B. hohe Verbindungsfrequenz).
• Regeln erstellen, die automatisch eine Benachrichtigung auslösen, wenn bestimmte Schwellenwerte überschritten werden.

Graylog für die Erfassung von Mosquitto-Logs konfigurieren

Graylog-Eingang einrichten

• Öffne die Graylog-Weboberfläche unter `http://<DEINE_IP>:9000`.
• Melde dich mit deinem Admin-Benutzer an.
• Gehe zu System > Inputs und wähle Input hinzufügen.
• Wähle als Typ Syslog UDP und klicke auf Launch new input.
• Konfiguriere den Input:

 * Bind address: 0.0.0.0
 * Port: 1514 (oder ein anderer freier Port)
 * Klicke auf Speichern, um den Input zu aktivieren.

Rsyslog installieren

• sudo apt update
• sudo apt install rsyslog -y
• systemctl enable rsyslog --now

Mosquitto-Logs an Graylog senden

• Öffne die Mosquitto-Konfigurationsdatei, z.B. `/etc/mosquitto/conf.d/defaults.conf`.
• Füge folgende Zeilen hinzu, um die Logs an Graylog weiterzuleiten:

log_dest syslog

• Stelle sicher, dass dein System so konfiguriert ist, dass es Syslog-Nachrichten an den Graylog-Server weiterleitet. Füge dazu in der Datei `/etc/rsyslog.conf` (oder `/etc/rsyslog.d/50-default.conf`) folgende Zeile hinzu:

*.* @127.0.0.1:1514;RSYSLOG_SyslogProtocol23Format

• Starte den Rsyslog-Dienst neu:

sudo systemctl restart rsyslog

Logs in Graylog visualisieren

• Kehre zur Graylog-Oberfläche zurück und gehe zu Search.
• Verwende Filter wie source:mosquitto oder message: für eine detaillierte Analyse und Visualisierung der MQTT-Logs.

Alarme für verdächtige Aktivitäten einrichten

• Gehe zu Alerts > Event Definitions und erstelle eine neue Event-Definition.
• Definiere Regeln für Alarme, z.B. eine hohe Anzahl von Verbindungen oder fehlgeschlagene Authentifizierungen.
• Lege Benachrichtigungen fest, um bei verdächtigen Ereignissen gewarnt zu werden.