本系列故事纯属虚构,如有雷同实属巧合
在之前的系列中,小B完成了日志分析平台的实现,也接入了各种日志源,做好了这些前期工作,接下来就是真正利用平台实现分析并体现日志价值的时候了。
日志的价值体现在什么地方?
在安全日志分析的大场景中,我们都是根据不同场景下的特征来进行分析,我们以主机安全场景特征判断为例:
通过对这些场景的思路整理,我们可以发现识别攻击场景的方式大致包括:关键字匹配、统计分析、聚合分析、关联分析。这四种分析方式在前面的文章中我们也提到过,大家有兴趣可以翻看历史文章进行查看。
熟悉ES的朋友都应该知道(如果不熟悉的建议阅读几遍ES的官方文档)它支持上述的关联分析之外的所有分析方式,那么我们就可以使用ES的这些查询语句来实现我们的安全日志分析,下文我分享了几个安全日志分析的具体案例:
demo1:常见的Web攻击
普通的Web攻击在日志分析中的分析方式与WAF识别攻击相似,都是通过正则表达式或者关键字匹配的方式来实现,ES中存在很多相关的查询语句,我们来体验一下:
- match匹配
- 利用bool方式进行复合查