Graylog 安裝架設

這是一套免費開源Log收集分析系統,可以自訂過濾器、報表,並且發送警告通知mail,以下記錄相關安裝設定方式






作業系統 Ubuntu 22.04

# apt-get update && sudo apt-get upgrade


安裝 Java 11
# apt-get install apt-transport-https openjdk-11-jre-headless uuid-runtime pwgen


安裝 MongoDB 建議安裝 6.0 版比較不會有問題

# curl -fsSL https://www.mongodb.org/static/pgp/server-6.0.asc | sudo gpg -o /usr/share/keyrings/mongodb-server-6.0.gpg --dearmor


# touch /etc/apt/sources.list.d/mongodb-org-6.0.list


# echo "deb [ arch=amd64,arm64 signed-by=/usr/share/keyrings/mongodb-server-6.0.gpg ] https://repo.mongodb.org/apt/ubuntu jammy/mongodb-org/6.0 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-6.0.list


# apt-get update

# apt-get install -y mongodb-org

# systemctl start mongod.service
# systemctl enable mongod.service

初始化系統
# ps --no-headers -o comm 1


使用 mongo shell 測試
# mongosh

test> show dbs
test> use config
config>exit

裝 Elasticsearch  (不支援最新 8.13.4)
警告:  Graylog 不支援 Elasticsearch 7.11 或更高版本。不要升級 Elasticsearch,因為這樣做會破壞您的執行個體!


# wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.12.1-amd64.deb
# dpkg -i elasticsearch-7.12.1-amd64.deb



關閉 SSL 連線 (for 8.x 版本)
# vi /etc/elasticsearch/elasticsearch.yml
xpack.security.enabled: false
xpack.security.http.ssl:
  enabled: false


啟動 Elasticsearch 服務
# systemctl start elasticsearch.service

設置 Elasticsearch 開機啟動
# systemctl enable elasticsearch.service

設置 Elasticsearch 查看服務
# systemctl status elasticsearch.service

檢查 java 版本,至少要11版以上
# java -version

測試連線資訊
# curl -X GET http://localhost:9200

出現下段

{
  "name" : "ubu22",
  "cluster_name" : "elasticsearch",
  "cluster_uuid" : "dTg337rQREaNF5_xMPc3yw",
  "version" : {
    "number" : "7.12.1",
    "build_flavor" : "default",
    "build_type" : "deb",
    "build_hash" : "3e5a16cfec50876d20ea77b075070932c6464c7d",
    "build_date" : "2021-03-06T05:54:38.141101Z",
    "build_snapshot" : false,
    "lucene_version" : "8.7.0",
    "minimum_wire_compatibility_version" : "6.8.0",
    "minimum_index_compatibility_version" : "6.0.0-beta1"
  },
  "tagline" : "You Know, for Search"
}


安裝 Graylog 6.0


# wget https://packages.graylog2.org/repo/packages/graylog-6.0-repository_latest.deb


# dpkg -i graylog-6.0-repository_latest.deb
# apt-get update 
# apt-get install graylog-server


生成一個安全的密碼
# pwgen -N 1 -s 96
u7M4C7lQjNQNUS6OsBbiFpxcAGAvhwRfF49yGvQr8xcKdldzUJUCUQLZzuY0V2D0f


生產 sha256 hash 值
# echo -n "Enter Password: " && head -1 </dev/stdin | tr -d '\n' | sha256sum | cut -d" " -f1
Enter Password: admin
8c6976e5b5410415bde908bd4dee15dfb167a9c873fc4bb8a81f6f


# vi /etc/graylog/server/server.conf

http_bind_address = 0.0.0.0:9000
root_timezone = Asia/Taipei
password_secret = u7M4C7lQjNQNUS6OsBbiFpxcAGAvhwRfF49yGvQr8xcKdldzUJUCUQLZzuY0V2D0fk8CCAZkMD5qxXKy9UA8BFDhj8LWq2hb
root_password_sha2 = 8c6976e5b5410415bde908bd4dee15dfb167a9c873fc4bb8a81f6f2ab448a918

# Email transport
transport_email_enabled = true
transport_email_hostname = 10.1.1.125
transport_email_port = 25
transport_email_use_auth = false
transport_email_from_email = graylog@domain.com.tw
transport_email_socket_connection_timeout = 10s
transport_email_socket_timeout = 10s

transport_email_use_tls = false
transport_email_use_ssl = false
transport_email_web_interface_url = http://graylog.domain.com.tw

存檔


# systemctl start graylog-server.service
# systemctl enable graylog-server.service
# systemctl status graylog-server.service

檢查 9000 port 是否 open
# netstat -tunlp


查看 log ,會有寫 admim 的密碼
# vi /var/log/graylog-server/server.log


http://10.1.1.123:9000

初始化設定,建立CA憑證,選擇1年並按下 Skip provisioning


完成後,登入畫面:帳號/密碼預設為 admin

System → Inputs → 選擇 Syslog UDP

Global 打勾
Title:syslog-udp-input
Bind address:0.0.0.0
Port:514

可以查看是否有open udp 514
# netstat -tunlp


接下來就可以開始設定Client端,將 Log 導入到 Graylog Server

# vi /etc/rsyslog.conf

# 導入 Graylog Server
*.* @10.1.1.123:514


# systemctl restart rsyslog.service

---------------------------------------------------------------------------------------------

System → Inputs → 選擇 Beats

Global 打勾
Title:Sidecar
Bind address:0.0.0.0
Port:5044

System → Sidecars → Create or reuse a token for the graylog-sidecar user
Token Name:test win10

把產生的 Token 複製出來,可以給多台電腦安裝使用
1cg2lir8nk24r5m5gl81d718doacgf8kqftickpdsgde9dv

---------------------------------------------------------------------------------------------


System → Sidecars → Configuration → winlogbeat-default → Edit

Configuration 內容修改如下:

# Needed for Graylog
fields_under_root: true
fields.collector_node_id: ${sidecar.nodeName}
fields.gl2_source_collector: ${sidecar.nodeId}


output.logstash:
   hosts: ["${user.graylog_host}:5044"]
path:
  data: ${sidecar.spoolDir!"C:\\Program Files\\Graylog\\sidecar\\cache\\winlogbeat"}\data
  logs: ${sidecar.spoolDir!"C:\\Program Files\\Graylog\\sidecar"}\logs
tags:
 - windows
winlogbeat:
  event_logs:
   - name: Application
     level: critical, error, warning # 告警等級
     ignore_older: 48h # 忽略48小時以前的event
   - name: System
     ignore_older: 48h
   - name: Security
     event_id: 4624, 4625, 4740 # 只收集特定事件,如果要排除4735,請下 -4735
     ignore_older: 48h
   - name: Setup
     ignore_older: 48h
   - name: ForwardedEvents
     forwarded: true
     ignore_older: 48h
   - name: Microsoft-Windows-Windows Defender/Operational
     ignore_older: 48h
   - name: Microsoft-Windows-Sysmon/Operational
     event_id: 22
     ignore_older: 48h
   - name: Microsoft-Windows-TerminalServices-LocalSessionManager/Operational
     ignore_older: 48h
   - name: Microsoft-Windows-PowerShell/Operational
     ignore_older: 48h
   - name: windows PowerShell
     ignore_older: 48h

---------------------------------------------------------------------------------------------

下載 Sidecar 安裝程式 for Windows 、Linux 平台
https://github.com/Graylog2/collector-sidecar/releases/

Windows 安裝過程輸入
server_url:http://10.1.1.123:9000/api
node_name:Windows  (如果空白,將使用主機名稱)
server_api_token:1h0br6kc5cknsv9qo84vvtcgv75nldd6r8950s0tuodqjiksbqoa


設定檔位置
C:\Program Files\Graylog\sidecar\sidecar.yml


---------------------------------------------------------------------------------------------

檢查版本 ( Ubuntu、Rcoky Linux )

# dpkg -l | grep -E ".(elasticsearch|graylog|mongo)."

# dnf list installed | grep -E ".*(elasticsearch|graylog|mongo).* "

---------------------------------------------------------------------------------------------

Graylog Marketplace 是 Graylog 附加元件的中心資源
尋找、探索並嘗試由 Graylog 社群成員和愛好者創建的 Graylog 附加元件。
提供Plugins插件、Extractors提取器、Content packs內容包和 GELF 庫以及指南和文件。 

Content packs 推薦:
Windows 10/11 和 Windows Server 安全性日誌  ( 客製化 Dashboards )
https://community.graylog.org/t/windows-10-11-windows-server-security-log/30969

---------------------------------------------------------------------------------------------

Linux Agent 安裝: (不建議安裝,請使用系統的 rsyslog 套件)

# wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.2.1-x86_64.rpm
# wget https://github.com/Graylog2/collector-sidecar/releases/download/1.5.0/graylog-sidecar-1.5.0-1.x86_64.rpm
# rpm -ivh filebeat-7.2.1-x86_64.rpm
# rpm -ivh graylog-sidecar-1.5.0-1.x86_64.rpm


# vi /etc/graylog/sidecar/sidecar.yml
# graylog-sidecar -service install
# systemctl start graylog-sidecar
# systemctl enable graylog-sidecar

# systemctl start filebeat
# systemctl enable filebeat

--------------------------------------------------------------------------------------------

SuSE 設定: (透過 rsyslog 套件,且僅倒出 sshd log)

# vi /etc/rsyslog.d/remote.conf
authpriv.* @10.1.1.123:514

# systemctl restart rsyslog.service
# systemctl status rsyslog.service

---------------------------------------------------------------------------------------------

Rocky Linux 設定: (透過 rsyslog 套件,且僅倒出 sshd log)

# vi /etc/rsyslog.conf
authpriv.* @10.1.1.123:514

# systemctl restart rsyslog.service
# systemctl status rsyslog.service

---------------------------------------------------------------------------------------------

Ubuntu 設定: (透過 rsyslog 套件,且僅倒出 sshd log)

# vi /etc/rsyslog.d/50-default.conf
authpriv.* @10.1.1.123:514

# systemctl restart rsyslog.service
# systemctl status rsyslog.service

---------------------------------------------------------------------------------------------

版本 Release 變更日誌:
https://go2docs.graylog.org/current/changelogs/changelog.html

---------------------------------------------------------------------------------------------

e-mail 通知設定
Alerts → Notifications → Create Notification

Notification Type: Email Notification
Sender (Optional): graylog@domain.com.tw
Email recipient(s) (Optional): abc@domain.com.tw
Time zone for date/time values (Optional): Taipei

---------------------------------------------------------------------------------------------

資料庫占用空間位置

[root@graylog mongodb]# pwd
/var/lib/mongodb

---------------------------------------------------------------------------------------------

預設情況下 inactive sidecar 未活動用戶端,它們會在 14 天後自動過期刪除

System → Configurations → Sidecars → Expiration threshold:P14D


預設 log 保留天數

System → Indices  → Default index set → 可在上方點 Enable stats 會顯示 Log 占用容量
Max. in storage: 40 days 最大保存天數
Min. in storage: 30 days 最小保存天數

---------------------------------------------------------------------------------------------

Search Queries Syntax 搜尋查詢語法 ( AND、OR、NOT )

https://go2docs.graylog.org/current/making_sense_of_your_log_data/writing_search_queries.html

---------------------------------------------------------------------------------------------

User 帳號登入本機成功

event_code:4624 AND winlog_event_data_LogonType:2 AND winlog_event_data_ProcessName:C\:\\Windows\\System32\\svchost.exe

---------------------------------------------------------------------------------------------

帳戶登入失敗 (包含遠端桌面連線)

event_code:4625

---------------------------------------------------------------------------------------------

開機 及 上次關機時間 Event ID:1、6005、7001

message:"系統已從低電源狀態回復" OR message:"事件記錄檔服務已啟動" OR message:"客戶經驗改進計畫的使用者登入通知"

---------------------------------------------------------------------------------------------

SSH 、FTP 登入失敗 ( Search 指令)

message:"failure for" OR message:"Failed" OR message:"failure;"

message:"pam_unix(sshd:auth): authentication failure;" NOT source:Cupid
message:"pam_unix(vsftpd:auth): authentication failure;" NOT source:Cupid

---------------------------------------------------------------------------------------------

AD 帳號新增、刪除、啟用、停用

event_code:4720 event_code:4726 event_code:4722 event_code:4725 AND source:AD


---------------------------------------------------------------------------------------------

Alerts → Notifications

Sender GrayLog <graylog@domain.com.tw>
Subject Graylog 事件通知: ${event_definition_title} - ${foreach backlog message}${message.fields.winlog_event_data_TargetUserName}${end}
Email Recipients abc@domain.com.tw
Time Zone Asia/Taipei

Email Body:

--- [Event Definition] ---------------------------
標題:       ${event_definition_title}
--- [Event] --------------------------------------
告警連結:         http://graylog.domain.com.tw:9000/alerts/${event.id}/replay-search
時間戳記:            ${event.timestamp}
${foreach event.fields field}  ${field.key}: ${field.value}
${end}
${if backlog}
--- [Backlog] ------------------------------------
${foreach backlog message}
登入主機:        ${message.source}
主機 IP:         ${message.fields.gl2_remote_ip}
來源 IP:         ${message.fields.winlog_event_data_IpAddress}
登入帳號:       ${message.fields.winlog_event_data_TargetUserName}
完整訊息:       ${message}
${end}
${end}



Email HTML Body:

<table width="100%" border="0" cellpadding="10" cellspacing="0" style="background-color:#f9f9f9;border:none;line-height:1.2"><tbody>
<tr style="line-height:1.5"><th colspan="2" style="background-color:#e6e6e6">事件定義</th></tr>
<tr><td width="200px">標題</td><td>${event_definition_title}</td></tr>
</tbody></table>
<br /><table width="100%" border="0" cellpadding="10" cellspacing="0" style="background-color:#f9f9f9;border:none;line-height:1.2"><tbody>
<tr><th colspan="2" style="background-color:#e6e6e6;line-height:1.5">事件</th></tr>
<tr><td>告警連結</td><td>http://graylog.domain.com.tw:9000/alerts/${event.id}/replay-search</td></tr>
<tr><td width="200px">時間戳記</td><td>${event.timestamp}</td></tr>
</tbody></table>
${if backlog}
<br /><table width="100%" border="0" cellpadding="10" cellspacing="0" style="background-color:#f9f9f9;border:none;line-height:1.2"><tbody>
<tr><th style="background-color:#e6e6e6;line-height:1.5">訊息</th></tr>
${foreach backlog message}
<tr><td>登入主機: ${message.source}</td></tr>
<tr><td>主機 IP: ${message.fields.gl2_remote_ip}</td></tr>
<tr><td>來源 IP: ${message.fields.winlog_event_data_IpAddress}</td></tr>
<tr><td>登入帳號: ${message.fields.winlog_event_data_TargetUserName}</td></tr>
<tr><td>完整訊息: ${message}</td></tr>
${end}
</tbody></table>
${end}

---------------------------------------------------------------------------------------------

Graylog 儲存的所有日誌訊息都會在 Elasticsearch 中建立索引

存放路徑:
/var/lib/elasticsearch/nodes/0

-------------------------------------------------------------------------------------------

另一套免費收集 Log 軟體

1. 安裝 nxlog-ce-3.2.2329.msi
2. 將 nxlog.conf 覆蓋到 C:\Program Files\nxlog\conf\
3. 開啟 services.msc ,重新啟動 nxlog ,將啟動類型改成「自動」
4. 檢查 C:\Program Files\nxlog\data\nxlog.log 紀錄是否有錯誤

--------------------------------------------------------------------------------------------

以下是 nxlog.conf 內容:


Panic Soft
#NoFreeOnExit TRUE

define ROOT     C:\Program Files\nxlog
define CERTDIR  %ROOT%\cert
define CONFDIR  %ROOT%\conf\nxlog.d
define LOGDIR   %ROOT%\data

include %CONFDIR%\\*.conf
define LOGFILE  %LOGDIR%\nxlog.log
LogFile %LOGFILE%

Moduledir %ROOT%\modules
CacheDir  %ROOT%\data
Pidfile   %ROOT%\data\nxlog.pid
SpoolDir  %ROOT%\data

<Extension syslog>
  Module    xm_syslog
</Extension>

<Extension _gelf>
    Module xm_gelf
</Extension>

<Input in>

    Module im_msvistalog
    ReadFromLast TRUE
    SavePos TRUE
    Query        <QueryList>\
                     <Query Id="0">\
                     <Select Path="Security">*[System[(EventID='4625')]]</Select>\
                     <Select Path="Security">*[System[(EventID='4740')]]</Select>\
                     <Select Path="Security">*[System[(EventID='4720')]]</Select>\
                     <Select Path="Security">*[System[(EventID='4726')]]</Select>\
                     <Select Path="Security">*[System[(EventID='4723')]]</Select>\
                     <Select Path="System">*[System[(EventID='1')]]</Select>\
                     <Select Path="System">*[System[(EventID='6005')]]</Select>\
                     <Select Path="System">*[System[(EventID='7001')]]</Select>\
                     </Query>\
                 </QueryList>

</Input>


<Output out>
    Module om_udp
    Host 10.1.1.123
    Port 514
#    OutputType GELF 開啟:收到的Log會變成亂碼
#    Exec to_syslog_snare(); 開啟:收到的Log會連在一起,source 欄位顯示電腦名稱
</Output>


<Route 1>
    Path in => out
</Route>



-----------------------------------------------------------------------------------------------

如要稽核應用程式 或 Sysmon,可加入如下:
<Select Path="Application">*</Select>\


<Select Path="Microsoft-Windows-Sysmon/Operational">*[System[(EventID='22')]]</Select>\

-----------------------------------------------------------------------------------------------

另一套免費收集 Log 軟體 Winlogbeat  (比較推薦)

1. 下載 Winlogbeat (選擇 Windows ZIP x86_64)
https://www.elastic.co/downloads/beats/winlogbeat

2. 將 zip 解壓縮到 C:\Program Files\
並將 winlogbeat-8.14.3-windows 資料夾名稱更改為 winlogbeat

3. 覆蓋 winlogbeat.yml 到 C:\Program Files\winlogbeat

4. 以系統管理員身分執行 Windows PowerShell

5. 輸入 cd 'C:\Program Files\winlogbeat\'
   安裝     .\install-service-winlogbeat.ps1

6. 測試 winlogbeat.yml 是否正確,輸入 .\winlogbeat.exe test config

7. 啟動服務,執行 services.msc 尋找 winlogbeat 進行啟動 (自動:延遲啟動)

-------------------------------------------------------------------------------------------

winlogbeat.yml 修改內容:


winlogbeat.event_logs:
  - name: Application
    level: critical, error, warning
    ignore_older: 48h

  - name: System
    event_id: 1, 41, 6005, 7001
    ignore_older: 48h

  - name: Security
    event_id: 4625, 4648, 4740, 4720, 4726, 4723
    ignore_older: 48h

#  - name: Microsoft-Windows-Sysmon/Operational
#    event_id: 22

#  - name: Windows PowerShell
#    event_id: 400, 403, 600, 800

#  - name: Microsoft-Windows-PowerShell/Operational
#    event_id: 4103, 4104, 4105, 4106

#  - name: ForwardedEvents
#    tags: [forwarded]


# 關閉 elasticsearch 輸出
#output.elasticsearch:
  # Array of hosts to connect to.
#  hosts: ["localhost:9200"]
#  pipeline: "winlogbeat-%{[agent.version]}-routing"

# 啟動 logstash 輸出
output.logstash:
  # The Logstash hosts
  hosts: ["graylog.domain.com.tw:5044"]

------------------------------------------------------------------------------------------

Windows 事件識別碼


應用程式:
1000:應用程式當機事件。失敗的應用程式名稱:
11707:安裝軟體
11724:移除軟體
1033:安裝軟體 (紀錄名稱、版本、語言、製造商)
1034:移除軟體 (紀錄名稱、版本、語言、製造商)


安全性:
4625:帳戶無法登入
4648:使用明確宣告的認證嘗試登入
4720:已建立使用者帳戶
4723:嘗試變更帳戶的密碼
4724:嘗試重設帳戶的密碼
4726:使用者帳戶已刪除
4740:已鎖定使用者帳戶
6416:系統已識別新的外接式裝置


系統:
 1:系統已從低電源狀態回復
41:系統已重新啟動,但未先完全關閉。 如果系統停止回應、損毀或意外中斷電源,可能會造成此錯誤。
45:系統無法成功載入故障轉儲驅動程式
46:損毀傾印初始化失敗
6005:事件記錄檔服務已啟動
6008:系統上次發生意外的關機
7001:客戶經驗改進計畫的使用者登入通知



留言

張貼留言

這個網誌中的熱門文章

VMware ESXi OVF Tool 指令模式 匯出、匯入 OVA

圖片
新版本的ESXi 6.7 在Web UI上,使用【匯出】,結果只會產生2個怪檔案,其中重要的VMDK檔案竟然只占用100 MB 左右,不合乎常理,所以只好用以下指令方法,來做匯出匯入動作 指令模式 匯出 OVA: 使用指令模式需要到 VMWare 官網下載 VMware Open Virtualization Format Tool 4.3.0 https://www.vmware.com/support/developer/ovf/ 下載安裝後,開啟一個<命令提示字元>視窗,並切換路徑到 VMWare Tool 安裝目錄下: C:\> cd "C:\Program Files\VMware\VMware OVF Tool\" 執行匯出指令: ovftool --noSSLVerify vi://root@10.1.1.136/Win_7_x86 D:\Win_7_x86.ova 請注意:匯出時, guest os 必須 shutdown 狀態 指令模式 匯入 OVA: ovftool -dm=thin d:\win_7_x86.ova vi://root@10.1.2.150
閱讀完整內容

軛瓣蘭 (Zygopetalum) 種植日記

圖片
植物名稱 軛瓣蘭屬    ( Zygopetalum ) 別名 紫香蘭 類型 多年生,附生植物 成熟尺寸 高 30-60 公分 陽光照射 部分,夏日需遮陰 花期 每年最多 4 次,每次壽命3~4週,花朵有香味 溫度 10度到25度 花色 紫色、綠色、白色、藍色 原產地 熱帶南美洲 軛瓣蘭是一種原產於南美洲熱帶雨林的蘭花。花朵非常芳香,通過適當的養護,這些堅固的蘭花每年最多開花四次,持續三到四周。花的大小為5至10公分,呈紫色,綠色和白色,花瓣和嘴唇有斑點和圖案。一些雜交種會產生帶有藍色陰影的花朵;一種被認為對蘭花來說罕見的顏色。 軛瓣蘭是附生植物,是植物在其它活體植物上面生長或是依附的現象,其水分及養分由環境中取得而非由被附著的活體植物取得,但一般的軛瓣蘭屬類型也可以種植在淺盆中生長。具有細長的淺綠色葉子和來自假鱗莖的花穗。這些是莖的增厚區域,軛瓣蘭上的莖和假鱗莖很脆弱,需要輕柔處理以避免斷裂。 光線 軛瓣蘭需要明亮的過濾光才能開花。提供某種類型的部分陰影將有助於避免在嫩葉和假鱗莖上曬傷和棕色斑點。使用遮光網或將植物放在接收強光而不直接暴露在陽光下的窗戶附近。 介質 像所有蘭花一樣,軛瓣蘭不耐受潮濕的介質。附生蘭花通過空氣根吸收水分和營養,因此持續潮濕的生長介質會導致根腐病和真菌感染。 這些蘭花喜歡微酸性介質,在籃子或淺盆中表現良好,使用含有20%珍珠岩的細蘭花皮。粗泥炭、沙子和紅木樹皮可以提高保濕性,澆水後仍能充分排水。 水 蘭花的頻繁開花可以通過更頻繁的澆水來鼓勵,在整個生長季節每兩天一次。當花朵下降時,澆水可以減少到每週一次。這是一種蘭花,開花後不會完全休眠,因此其生長季節將取決於您提供的條件。 在溫帶氣候中,冬季應減少用水量,以提供休息時間。這種植物對自來水中的鹽和礦物質也很敏感,因此最好在室溫下使用過濾或蒸餾水。 溫度和濕度 最佳溫度在白天為21至24度,在夜間為10度。在山地雨林中自然生長的類型,在夜間溫度甚至略低(約10至12度)下表現最佳。如果不澆水並保持植物乾燥,可以在冬季10度以下存活。 夏季最佳濕度水準在60%至70%之間。早上霧化你的蘭花,以幫助葉子在夜幕降臨之前乾燥。潮濕的葉子會導致莖稈脫落和花朵損失。開花時避免起霧,以阻止灰黴病花瓣枯萎病。 良好的空氣流通對蘭花的健康也很重要。稍微打開的窗戶或風扇可以保持空氣在周圍流動但不應直接吹在植株上
閱讀完整內容

ETF 月月配息組合

圖片
繼去年ETF季配息的 2種組合 後,今年即將要新上市的ETF,開始主打月月配9%,且配息時間還區分成月初、月中、月底,幾乎可以說是週週領息,對存股族來說真是一大福音,下圖是股魚整理的表格: 股票債劵的組合比較適合存退休金用,且想每檔不超過2萬元的話(避開二代健保補充保費),那麼可以這樣搭配:                                                                名稱 張數 收盤價 所需資金 配息時間 保管銀行 00937B 群益ESG投等債20+ 250張 16 400萬 月中 彰化銀行 00939 統一台灣高息動能 180張 15 270萬 月底 華南銀行 00940 元大臺灣價值高息 266張 10 266萬 月初 華南銀行 由於每個月配息入金銀行,如果不是指定的保管銀行,會扣10元匯費,這對月領是很傷的,所以需要線上申請變更到華南SnY(活存2.3%)及彰銀e財寶(活存1.2%)數位帳戶上,這樣還可以繼續享有數位活存高利息,等累積一定配息金額後,再透過APP免費轉帳到交割帳戶內去買股。 以下列出成分股及權重調整的月份:                                                                     名稱 成分股調整 權重調整 0056 元大高股息 6、12月 6、12月 00878 國泰永續高股息 5、11月 5、11月 00713 元大高息低波 6、12月 6、12月 00919 群益台灣精選高息 5、12月 5、12月 00939 統一台灣高息動能 5月 1、9月 00940 元大臺灣價值高息 5、11月 5、11月
閱讀完整內容