日志分析系列(三):分析实战篇

最新推荐文章于 2022-10-25 16:16:01 发布
最新推荐文章于 2022-10-25 16:16:01 发布
阅读量318 收藏
点赞数
文章标签: elasticsearch python 数据分析
bloodzer0原创
本文链接:https://blog.csdn.net/bloodzer0/article/details/104886185
版权

本系列故事纯属虚构,如有雷同实属巧合

在之前的系列中,小B完成了日志分析平台的实现,也接入了各种日志源,做好了这些前期工作,接下来就是真正利用平台实现分析并体现日志价值的时候了。

日志的价值体现在什么地方?

在安全日志分析的大场景中,我们都是根据不同场景下的特征来进行分析,我们以主机安全场景特征判断为例:

通过对这些场景的思路整理,我们可以发现识别攻击场景的方式大致包括:关键字匹配统计分析聚合分析关联分析。这四种分析方式在前面的文章中我们也提到过,大家有兴趣可以翻看历史文章进行查看。

熟悉ES的朋友都应该知道(如果不熟悉的建议阅读几遍ES的官方文档)它支持上述的关联分析之外的所有分析方式,那么我们就可以使用ES的这些查询语句来实现我们的安全日志分析,下文我分享了几个安全日志分析的具体案例:

demo1:常见的Web攻击

普通的Web攻击在日志分析中的分析方式与WAF识别攻击相似,都是通过正则表达式或者关键字匹配的方式来实现,ES中存在很多相关的查询语句,我们来体验一下:

  • match匹配

  • 利用bool方式进行复合查
最低0.47元/天 解锁文章
「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
iOS应用逆向工程:分析实战
09-05
第四部分为实战篇,通过对3个App Store App及1个系统App进行逆向分析实战操作,让读者能够了解并同步实践已掌握的知识。 iOS应用逆向工程:分析实战 目录: 推荐序一 推荐序二 自序 前言 第一部分 概念篇 ...
CISP-PTE练习篇(基础题目之日志分析
wojiaoqwe的博客
01-30 1097
本文仅当作学习记录使用。
PTE学习作业
weixin_56910965的博客
07-01 1533
##被攻击者服务器为Linux:加粗样式 1.基础题目之SQL注入 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 通过SQL注入漏洞读取/tmp/360/key文件,答案就在文件中。 通过简单的测试,看到了 系统过滤了空格 咱为了省事直接sqlmap用起来,先去tamper里面找找哪个空格好使 答案出来了 复制路径 C:\Users\Admin\AppData\Local\sqlmap\output\172.16.12.1
日志分析
RuoLi_s的博客
03-22 9278
总结——用于备忘和交流学习 一.web日志分析 (一)、特征字符分析 1.sql注入 2. 数据库类型判断 有以上信息可以尝试判断是否为sql注入 (二)、访问频率分析 二.系统日志分析 (一)、Linux (二)、Windows 三.练习题 题目来源:墨者学院 1.分析谷歌爬虫IP 先标记404,观察到其密集存在于210.185.192.212这个IP,再同时标记上这个IP,确实是一直在爬取网站的图片。输入IP即得到key。 我最先使用的是notepad++,后来想到用excal按空格分列显
基础题目之日志分析
king丶
07-31 713
通过下载日志,已知线索ip:172.16.12.12 利用Notepad++ 正则 匹配到 我们知道的ip地址 已经状态码 200 的 172.16.12.12 .*".*" 200 发现攻击者一直在adminlogin.php 页面请求。 发现是个登陆框。 导入字典爆破 密码为password123 ...
CISP-PTE学习总结之基础练习题(四)
千寻的博客
10-25 4070
考前练习题整理
Python3实战Spark大数据分析及调度-第12章 Azkaban进阶篇.zip
04-30
Azkaban是LinkedIn开发的一个开源的工作流调度系统,它允许用户定义、管理和执行一系列相关任务,特别适合大数据处理场景。 **Spark大数据分析** Spark是一个强大的分布式计算框架,它可以高效地处理大规模数据集...
tp-blog:tp5.0.11实战博客原始码
03-23
5.0.11版本在5.0系列中是一个稳定版本,提供了更多的优化和改进,如增强的路由系统、更完善的日志处理、错误处理机制以及更强大的表单验证等。 2. MVC模式与ThinkPHP MVC(Model-View-Controller)模式是软件工程中...
Exchange Server 2003 实战管理系列2
12-06
实战管理系列旨在深入探讨Exchange Server 2003的管理和优化技术,帮助管理员更好地理解和操作这个复杂但功能强大的系统。 首先,"管理Exchange组织和服务器"是Exchange Server 2003的核心任务之一。Exchange组织...
hadoop经典系列(十一)性能分析实验初步
08-03
在本篇“Hadoop经典系列(十一)性能分析实验初步”中,我们将深入探讨Hadoop分布式计算框架的性能分析,这是大数据处理的关键环节。通过理解Hadoop的工作原理和优化策略,我们可以有效地提升集群效率,降低任务执行...
大数据日志分析实战
08-08
大数据日志分析实战大数据日志分析实战大数据日志分析实战大数据日志分析实战
logstash的filter配置
老柴菜鸟
04-20 7139
前一篇我们已经学会了logstash-input-file插件的用法,我们现在在上一篇的基础上来学习一下filter。 首先呢,还是来伪造数据 [sqczm@sqczm logstash-6.7.1]$ pwd /opt/logstash-6.7.1 [sqczm@sqczm logstash-6.7.1]$ ls demo/second/ events.txt second.conf [sqc...
日志分析基础
weixin_30851409的博客
11-20 156
日志分析基础________________________________________补充知识:________________________________________1、sed:处理缓冲区中的字符串,然后输出的标准输出。(1)行单位增删 sed ‘2,7d’ 但是删除,2起始行,7结尾行($代表最后一行)(2)行单位替换 sed ‘2,5c xxxxxxx’,把2到5行替换成xxx...
日志分析最佳实践:我们从实际经验中,总结出了9大日志记录原则
xshy3412的专栏
03-04 1572
作者 | Dvir Peretz 译者 | Seanhao 是否记录日志不再是问题的现在,如何记录日志日志记录什么内容,已经成为 IT 运营部门试图提高应用程序性能和投资回报率,需要关注的领域之所在。 本文收集了一些最佳实践及注意要点,可以帮助您“更明智地记录日志”,并为您在排查问题时节省宝贵的时间和资源。 1、了解你的受众 在处理日志前,首先要了解的是——应用程序日志有两类非常...
日志分析方法
热门推荐
foolisheddy
06-03 2万+
日志分析方法 日志分析方法 分析方法: 1.特征字符分析(Signature-based): 2.访问频率分析(Frequency analysis) 1.漏洞扫描检测: 2.暴力破解检测: 3.webshell 检测 难点: 风险评估模型: 参考: 分析方法: 1.特征字符分析(Signature-based): 在日志中查找已知的漏洞特征,去发现黑客攻击行为,...
日志分析题解
abc201612的博客
08-01 633
日志分析(log) 【问题描述】 M 海运公司最近要对旗下仓库的货物进出情况进行统计。目前他们所拥有的唯一记录就是一个记录集装箱进出情况的日志。该日志记录了两类操作:第一类操作为集装箱入库操作,以及该次入库的集装箱重量;第二类操作为集装箱的出库操作。这些记录都严格按时间顺序排列。集装箱入库和出库的规则为先进后出,即每次出库操作出库的集装箱为当前在仓库里所有集装箱中最晚入库的集装箱。 出于...
日志分析系列之平台实现
bloodzer0
03-04 1202
本系列故事纯属虚构,如有雷同实属巧合 平台实现前的说明 小B在给老板汇报了"统一日志分析平台"项目后,老板拍板立即开始做,争取下一次能及时发现攻击并且追踪攻击者。于是小B开始分析了市面上商业与开源的日志分析平台架构,大家都神似如下图: 知道了架构如何,接下来的关键就是每层之间选择什么样的产品了。关于如何选择,小B推荐了几个方面: 已有架构:避免基础能力的重复,使用目前IT基础框架中已有的东西。...
【大数据spark sql项目实战日志分析(九):数据清洗作业运行到yarn上
最新发布
03-16
非常感谢您分享的大数据spark sql项目实战系列文章,让我们学到了很多实用的技能。在第九篇文章中,您介绍了如何将数据清洗作业运行到yarn上,这对于提高作业的效率和稳定性非常有帮助。通过您的详细讲解,我们了解...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值