CoP PSU IT Blog – Page 67 – แหล่งรวมบทความเกี่ยวกับ IT โดยชาว PSU IT

ELK #09 Anomaly Detection (Case Study)

August 21, 2019 11:25

ระบบ PSU Email ให้บริการผู้ใช้ของมหาวิทยาลัยสงขลานครินทร์ ซึ่งมีการใช้งานจากทั่วโลก ทั้งระบบประกอบขึ้นจากคอมพิวเตอร์หลายเครื่อง การจะตรวจสอบ Log เมื่อเกิด Incident ขึ้น อาจจะต้องใช้ระยะเวลานาน และเป็นการยากพอสมควรที่จะเชื่อมโยงความสัมพันธ์ของเหตุการณ์ และสรุปออกมาเป็นรายงานได้ จึงเริ่มใช้ ELK สำหรับรวบรวม Log ของทั้งระบบไว้ที่ส่วนกลาง และพัฒนาต่อยอดเพื่อการตรวจจับความผิดปรกติต่าง ๆ ได้ ในบทความนี้ จะนำเสนอวิธีการใช้ ELK เพื่อตรวจจับ การ Login ที่ผิดปรกติบน PSU Email โดยจะสนใจ ผู้ใช้ที่มีการ Login จากนอกประเทศเป็นหลัก การส่ง Log จาก Server เข้า ELK ที่เครื่อง Server แต่ละเครื่อง กำหนดให้ส่ง Log จาก /etc/rsyslog.d/50-default.conf เข้าไปที่ your.logstash.server:port ตามที่กำหนดไว้ การสร้าง Logstash Filter ที่ Logstash Server Input เพื่อรับข้อมูลจาก syslog ที่ port ที่ต้องการ เช่นในที่นี้เป็น 5516 เป็นต้น Filter ใช้ Grok Plugin เพื่อจับข้อมูล จาก message แบ่งเป็นส่วน ๆ ตามลักษณะ แล้วตั้งชื่อตาม Field ตามต้องการ ในที่นี้คือ description, username, domainname, clientip, actiondate, actiontime เป็นต้น (ตัวที่สำคัญในตอนนี้คือ username และ clientip) Output ตั้งว่าให้ส่งผลไปยัง Elasticsearch ที่ “your.elasticsearch.server” ที่ port 9200 [ตรงนี้มีกระบวนการบางอย่าง ซึ่งค่อยมาลงรายละเอียด] เมื่อมี Log ไหลเข้าสู่ Logstash และ ถูกประมวลผลแล้ว ก็จะเข้าสู่ Elasticsearch แล้ว ก็นำไปใช้งานบน Kibana หลังจากนั้น สามารถ Search ข้อมูล และใส่ Fields ที่สนใจ เช่น Time, Username, geoip.country_name และ description ได้ แล้ว Save เอาไว้ใช้งานต่อ ในที่นี้ ตั้งชื่อว่า squirrelmail-geoip จากนั้น สามารถเอาไปสร้างเป็น Visualization แบบ Coordinate Map ได้ เช่น ดูว่า มีการ Login Success / Failed Login / Sent จากที่ไหนบ้างในโลก จะเห็นได้ว่า ส่วนใหญ่ ใช้งานจากในประเทศไทย (วงกลมสีแดงเข้ม ๆ) ส่วนนอกประเทศ จะเป็นวงสีเหลืองเล็ก ๆ การตรวจหาการใช้งานที่ผิดปรกติ สร้าง Search ใหม่ กรองเฉพาะ ที่มี (exist) Username และ ไม่เป็น N/A และ มี (exist) geoip.country_code และ ไม่ใช่ Thailand แล้ว Save ไว้ใช้งานต่อไป ในที่ตั้งชื่อว่า squirrelmail-geoip-outside-th จากนั้น เอาไปสร้าง Visualization แบบ Vertical Barกำหนดให้Y Axis เป็นจำนวนX Axis เป็น Usernameโดยที่ Group by geoip.country_name และ descriptionก็จะทำให้รู้ว่า ใครบ้างที่ มีการใช้งานนอกประเทศ และ

Should Be Equal ใน Robot Framework

August 21, 2019 08:57

วันนี้จะมาทดลองใช้ Should Be Equal (การเปรียบเทียบ) ใน Robot framework กันค่ะ ก่อนจะถึงคำสั่งเปรียบเทียบ เราก็ต้องเขียน Test Case อื่น ๆ กันก่อน งั้นวันนี้จะเขียนแบ่ง Test Case ให้อ่านง่าย ๆ กันไปเลย เพื่อเพื่อน ๆ จะได้นำไปประยุกต์ใช้งานกันได้ค่ะ สิ่งที่ต้องใช้ในวันนี้ คือ Notpad++ หรือ Tool อื่น ๆ ที่เพื่อน ๆ ถนัด วันนี้เราจะใช้ Visual Studio Code กันค่ะ (เพราะเหนื่อยกับการรันผ่าน command line แล้ว) มาเริ่มกันเลยดีกว่า จะเห็นว่า เรามีการตั้งชื่อ Test Case ให้อ่านง่าย เพื่อจะให้รู้ว่าแต่ละขั้นเราทำอะไร ตอนเป็น Report จะได้ดูง่ายเข้าไปอีก ค่อนไปดู Report ตอนท้าย คำสั่งนี้จะตรวจสอบว่าค่าที่ได้ตรงกันมั๊ย จะเห็นว่าเราเขียน Test Case เป็นภาษาไทยได้นะเออ จากรูปเปรียบเทียบค่าจาก xpath ที่ locator h1 ตามคำสั่ง //h1[@class=”main-header”] เท่ากับ “ROBOT FRAME WORK/” หรือไม่ Locator ที่กล่าวคือตำแหน่งตามรูปข้างบน คราวนี้เราลองปรับให้ ${expect} ไม่ใช่ค่าเดียวกับ locator ที่เราอ้างถึง จะเห็นได้ว่าที่ log console มีการแสดงผลในการเปรียบเทียบว่าไม่เท่ากัน ไปดู Report กันซะหน่อยว่าเป็นยังไง Report ก็ดูง่ายมากเลยเห็นมั๊ยหล่ะ ^_^

Windows Subsystem for Linux in Windows 10

August 16, 2019 15:50

แนะนำวิธีติดตั้ง Windows Subsystem for Linux ใน Windows 10 รุ่น 1903 และวิธีเปิด sshd service อัตโนมัติ ขั้นตอน1.เปิด Featured Windows Subsystem for Linux ให้ไปที่ Control Panel เลือก Program เลือก Turn Windows features on or off ทำเครื่องหมายเพื่อเลือก Windows Subsystem for Linux รอสักครู่ จากนั้นจะมีคำสั่งให้ reboot เพื่อเริ่มใช้งานได้ 2.เปิด Microsoft Store App ใส่คำว่า ubuntu ในช่อง search เลือก Ubuntu 18.04 LTS App คลิก Get ถาม Sign in with Microsoft ให้ตอบ No, thanks จากนั้นรอ 3.เปิด Ubuntu 18.04 LTS ที่ปุ่ม Windows Start ให้คีย์คำว่า ubuntu แล้วเลือก Run ad administrator จะใช้เวลาสักครู่ แล้วจะให้เราตั้ง username และ password ที่ไม่จำเป็นต้องเหมือนกับ username ที่ sign in เข้า Windows 4.เปิดอนุญาตให้มีการเชื่อมต่อผ่าน sshd ในครั้งแรกที่คีย์คำสั่งว่าsudo service ssh start 5.ให้ถอนโปรแกรม openssh-server เพราะว่า Ubuntu ที่ได้มาไม่มี host key sudo apt remove openssh-server 6.แล้วจะติดตั้งใหม่จะได้ ssh host key sudo apt install openssh-server เปิด sshd service ด้วยคำสั่ง sudo service ssh start และทดสอบว่า บริการ sshd ทำงานได้แล้วด้วยคำสั่ง ssh john@127.0.0.1 ให้เปลี่ยนคำว่า john เป็นชื่อ username ที่ใช้งานจะพบว่าครั้งแรกนี้ จะเข้าไม่ได้ Permission denied (publickey) 7.เราจะตั้งค่าให้ใช้ password ได้ด้วยนอกจากใช้ public key sudo sed -i “s/^PasswordAuthentication no/PasswordAuthentication yes/” /etc/ssh/sshd_config เปิด sshd service อีกครั้ง ด้วยคำสั่งsudo service ssh restartและทดสอบอีกครั้งว่า บริการ sshd ทำงานได้แล้วด้วยคำสั่งssh john@127.0.0.1ให้เปลี่ยนคำว่า john เป็นชื่อ username ที่ใช้งานในรอบนี้ เราจะใส่ password ได้แล้ว หลังจากสำเร็จ ก็ใช้คำสั่ง exit ออกมา เมื่อมาถึงตรงนี้ เราได้ทำให้บริการ sshd พร้อมใช้งานใน Windows ของเราแล้ว ต่อไปเป็นการตั้งค่าให้บริการ sshd ทำงานทันทีที่เปิด Windows คีย์คำสั่งเหล่านี้ echo “sudo /usr/sbin/service ssh start” > /mnt/c/startssh.sh และ echo “%sudo ALL = NOPASSWD: /usr/sbin/service ssh start”

ทดสอบ API ด้วย Robot Framework (Get Request)

August 16, 2019 09:17

ก็ยังคงเขียนเกี่ยวกับ robot framework อีกนั่นแหละ ^_^ วันนี้เลยจะมาเขียนตัวอย่างการทดสอบ api ด้วย Robot Framework (Get Request) อย่างง่ายกันค่ะ สิ่งที่ต้องใช้ API ที่จะใช้ในการทดสอบ อันนี้จะใช้ API ที่ http://thetestingworldapi.com ค่ะ เครื่องมือที่ใช้เขียน Notepad++ ^_^ Cmd ขั้นแรกเราไปที่ http://thetestingworldapi.com แล้วคลิกที่ API ในที่นี้ขอเลือก API ของ StudentsDetails ดังรูปค่ะ จากนั้นก็เปิด Notpad++ ขึ้นมาเลยค่ะ ที่ Settings ต้องเรียก Library RequestsLibrary นะ แต่ก่อนอื่นต้องไปลง Library ตัวนี้กันก่อน โดยใช้คำสั่ง pip install robotframework-requests ถ้าลงแล้วก็จะตรวจสอบได้ โดยใช้คำสั่ง pip freeze ดังรูป มาที่ Notepad++ กันต่อ ^_^ เขียนคำสั่ง ดังนี้เลย จะเห็นได้ว่าเรามีแสดง status_code ออกมาด้วย มารู้จักความหมายของ status_code แต่ละตัวกันดีกว่า 2xx คือ OK 3xx คือ Redirection 4xx คือ Resource not found 5xx คือ Server error มารันผลลัพธ์กันดีกว่า อันนี้ไม่ขอรัน code ในส่วนของ content นะ ไปรันกันเอาเอง เพราะมันเยอะมากตาลาย capture รูปมาก็คงดูไม่รู้เรื่อง ^_^ การทดสอบ Get Request อย่างง่าย ก็ประมาณนี้นะคะ

Firefox:- Multi-Account Containers

August 15, 2019 15:39

คุณเคยเจอปัญหาเหล่านี้หรือไม่ มีเมล์หลาย account โดยผู้ให้บริการเจ้าเดียวกัน มี Facebook หลาย account เปิดลิงค์ที่จำเป็นต้องล็อคอินด้วยเมล์อันนึงแต่กลายเป็นว่าเข้าด้วย account ของเมล์อีกอันนึง เช่นของ gmail สามารถที่ล็อคอินไว้ได้หลาย account ในคราวเดียวกัน ตัวอย่าง ล็อคอิน mail A และ mail B เมื่อเปิดลิงค์ที่จำเป็นต้องใช้เมล์ B แต่กลายเป็นว่าเปิดด้วยเมล์อีกเมล์ A เลยไม่มีสิทธิ์ ต้องมากดสลับมา mail B จึงจะมีสิทธิ์ เป็นต้น สรุปคือปัญหาของการมี account หลายชื่อที่ให้บริการโดยผู้ให้บริการเจ้าเดียว เช่น @gmail.com @outlook.com ฯลฯ สามารถแยกแท็บเรื่องงาน แท็บเรื่องส่วนตัวได้ Firefox มีทางออกให้แล้ว!!! ด้วยความสามารถใหม่! ถอดด้าม Multi-Account Containers จริง ๆ เปิดให้ใช้งานมาระยะหนึ่งแล้วใน Firefox nightly ตอนนี้พร้อมให้ใช้งานในรุ่นปกติแล้ว (ปัจจุบันรุ่น 68.0.2) สามารถใช้ได้ทั้งแบบติดตั้งและไม่ติดตั้ง Extension เพิ่ม แต่ถ้าติดตั้งก็จะใช้งานได้ง่ายกว่า ติดตั้ง Firefox Multi-Account Containers by Mozilla เปิดลิงค์นี้ Firefox Multi-Account Containers ด้วย Firefox (แหงล่ะ) จะได้หน้าตาประมาณนี้ คลิก Add to Firefox จะมีกล่องข้อความอธิบายว่า Extension นี้ต้องการสิทธิ์อะไรบ้าง ขึ้นมาคลิก Add เมื่อติดตั้งเสร็จจะมีหน้าต่างบอกว่าติดตั้งเสร็จแล้ว คลิก Okay, Got it คลิกที่ปุ่มดังภาพ (โดยปกติจะอยู่บนทูลบาร์ปุ่มสุดท้าย) จะได้หน้าต่างดังภาพแล้วคลิก Get Started จะเป็นการแนะนำให้รู้จัก Multi-Account Containers ก็กด Next ไปเรื่อย ๆ จน Done จนได้หน้าต่างดังภาพ สังเกตว่ามีการสร้าง Container เบื้องต้นให้แล้ว 5 กลุ่ม หากต้องการเพิ่มกลุ่มอื่น ๆ คลิก เครื่องหมายบวก (+) หลังคำว่า Edit Containers เพิ่มเสร็จกด OK หากต้องการแก้ไข ชื่อรูปและสีของแท็บคลิก Edit Container แล้วคลิกรูปดินสอด้านหลัง Container ที่ต้องการแก้ไข แก้เสร็จคลิกปุ่ม < ด้านซ้ายมือตามรูป จบส่วนการติดตั้ง Extension หากต้องการใช้งานโดยไม่ติดตั้ง Extension ซึ่งไม่แนะนำให้ใช้วิธีนี้ เปิด Configuration Editor (about:config) ยอมรับคำเตือน คลิก I accept the risk! เปลี่ยนค่าต่อไปนี้