前言

在幫客戶導入 GrayLOG 後，針對關鍵字進行查找時發現防火牆出現大量登入錯誤的訊息，仔細查看後發現登入訊息皆來自防火牆的 SSL VPN 登入錯誤，很明顯這就是來自網路上的暴力破解攻擊事件，下圖是 GrayLOG 匯出之後整理出來的清單列表。

針對這種攻擊，我們嘗試了幾種方式都無法正確阻擋攻擊，最後決定變更 SSL VPN 使用的 Port 來阻擋攻擊事件。

後續

我們建立 GrayLOG 的 Alert 機制進行即時監控，當出現關鍵字時，就會送出告警信件，我們就可以即時做出回應，避免災害擴大。