日志分析系列之介绍篇

最新推荐文章于 2024-07-14 14:34:22 发布
最新推荐文章于 2024-07-14 14:34:22 发布
阅读量611 收藏 2
点赞数
分类专栏: 日志分析专栏 文章标签: elk 系统安全 web安全 安全架构 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bloodzero_new/article/details/121139120
版权

本系列故事纯属虚构,如有雷同实属巧合

小B是Q公司的安全攻城狮,最近Q公司不太平,出现了好几次的安全攻击事件。可在事后小B却找不到被攻击的真正原因,于是领导下命令给小B,必须做到对攻击事件的检测与溯源,不然就可以卷铺盖回家了。

听到此话的小B冷汗连连,找到最近几次攻击的记录文档,认真剖析未发现真相的原因,总结如下:

  • 系统未记录日志:部分系统无日志信息可用。
  • 日志信息无备份:日志被攻击者删除,或因存储空间不够被删除,无备份日志可用。
  • 采集维度不详细:日志格式为默认配置,不够详细,不能从中提取太多有效价值信息。
  • 采集信息不准确:类似IP等用户识别维度信息不准确,不能定位到攻击者。
  • 记录结果不统一:相同字段在不同的日志中类型不统一,无法进行日志关联。

找到了原因,小B就知晓了要想解决这些问题,就必须实现统一日志分析平台。拥有了这个平台,那么在下一次面对攻击时就不会那么两眼一抹黑了。

小B说目的

建设统一日志分析平台,小B需要先向领导汇报得到领导的支持。首要就是向领导说明搭建统一日志分析平台的目的。

日志分析在企业内部是一项很基础的核心技术,不光运用在安全团队中,还运用在IT研发团队、业务团队中。不同的是目的:

  • 从安全来看:安全团队提取日志分析主要是为了发现未知安全事件、对已知的安全事件进行溯源分析。还有另外一个很重要的目的是国家层面的监管合规要求
  • 从IT研发来看:企业内部的非安全
最低0.47元/天 解锁文章
「已注销」
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
日志分析
三少GG
07-28 5138
日志分析方法概述    (2011-4-27 02:04:57) 标签: 数据挖掘 , 统计    分类:数据挖掘 日志在计算机系统中是一个非常广泛的概念,任何程序都有可能输出日志:操作系统内核、各种应用服务器等等。日志的内容、规模和用途也各不相同,很难一概而论。 本文讨论的日志处理方法中的日志,仅指Web日志。其实并没有精确的定义,可能包括但不限于各种前端Web服务器——a
日志分析
WX公众号-小白学安全
04-15 898
Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志安全日志。系统日志记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。
网络安全应急响应-日志分析技术
Bnessy
03-24 6119
Web日志分析 一 、HTTP基础 1. HTTP报文格式解析 HTTP请求报文 HTTP请求包括3部分,分别是请求行、请求头和请求正文。 Windows NT 10.0表示操作系统内核版本号,Windows XP内核号是NT 5.1或NT 5.2(64位操作系统),Windows Vista的内核版本号是NT 6.0,Windows 7的内核版本号是NT 6.1,Windows 8的内核版本号是NT 6.2,Windows 10的内核版本号是NT 10.0。 rv:98.0是Firefox浏览器的软件
1.日志的概念
weixin_44230693的博客
02-03 1348
日志的概念 1 日志文件 日志文件是用于记录系统操作事件的文件集合,可分为事件日志和消息日志。具有处理历史数据、诊断问题的追踪以及理解系统的活动等重要作用。 在计算机中,日志文件是记录在操作系统或其他软件运行中发生的事件或在通信软件的不同用户之间的消息的文件。记录是保持日志的行为。在最简单的情况下,消息被写入单个日志文件。 许多操作系统,软件框架和程序包括日志系统。广泛使用的日志记录标准是在因特网工程任务组 (IETF)RFC5424中定义的syslog。 syslog标准使专用的标准化子系统能够生成,过滤
CISP-PTE练习(基础题目之日志分析
wojiaoqwe的博客
01-30 1126
本文仅当作学习记录使用。
企业日志分析ELK(Logstash+Elasticsearch+Kibana)介绍及搭建
weixin_64413763的博客
11-21 686
elk 是什么?Elastic Stack(旧称ELK Stack),是一种能够从任意数据源抽取数据,并实时对数据进行搜索、分析和可视化展现的数据分析框架。(hadoop同一个开发人员)ELK 其实并不是一款软件,而是一整套解决方案,是三个软件产品的首字母缩写Elasticsearch:负责日志检索和储存Logstash:负责日志的收集和分析、处理Kibana:负责日志的可视化这三款软件都是开源软件,通常是配合使用,而且又先后归于 Elastic.co 公司名下,故被简称为 ELK
中间件RabbitMQ之运维
01-27
RabbitMQ的运维还包括监控、日志分析、性能调优、故障排查和安全策略制定等。监控工具如Prometheus和Grafana可以帮助收集和可视化RabbitMQ的运行指标。对于日志,可以通过日志聚合工具如Logstash和Elasticsearch进行...
网站运营数据分析-认知.ppt
11-12
本认知主要介绍了数据分析的基本概念、目的、关键数据以及实施流程,帮助学员建立起对网站运营数据分析的全面理解。 首先,我们需要明确数据分析的核心——它是通过分析目的导向,采用恰当的方法和工具,对收集到...
IBM-P系列小型机培训(高级)
09-15
【IBM P系列小型机培训(高级)】深入解析 IBM P系列小型机是IBM公司推出的高端企业级服务器,主要用于大型数据中心和关键业务环境。在本高级的培训中,我们将探讨P系列小型机的日常维护、故障定位与排除等核心...
计算机实习日志20
04-05
"计算机实习日志20" 以下是根据提供的文件信息生成的相关知识点: 一、网站搭建和配置 * 搭建公司网站,安装 IIS 组件,设置默认网站主目录地址 * 在本地电脑上虚拟访问网站,设置 Internet 来宾账户的权限 * ...
日志分析技术设计
06-04
日志分析技术设计评审文档
电商研发系列 概述.doc
02-17
本资源摘要信息是基于 Craft6.cn 站长颜超敏原创的电商研发系列博文概述,涵盖 B2C 电子商务系统前台、后台各个主要功能模块的需求分析和概要设计相关内容。 一、系统定义 在电商研发系列中,本系列博文主要探讨...
报文和流的区别
shangzhi6321的专栏
01-18 1万+
1、一般TCP/IP的应用层或者OSI的会话、表示、应用层把数据称为数据或者信息,到了传输层把数据称为报文,到了最底层就是比特流了也就是字节流2、字节就是散乱的数据  报文就是添加了标记,封装后的数据  字节流是由字节组成的, 字节流是最基本的,所有的InputStrem和OutputStream的子类都是,主要用在处理二进制数据,它是按字节来处理的 字符流和字节流都是什么 流就是st
帧、报文报文段、分组、包、数据报的概念区别
热门推荐
垃圾桶丁
02-07 3万+
分组、包,packet,信息在互联网当中传输的单元,网络层实现分组交付。用抓包工具抓到的一条条记录就是包。 帧,frame,数据链路层的协议数据单元。我们将链路层分组称为帧。 数据报,Datagram,通过网络传输的数据的基本单元,包含一个报头(header)和数据本身,其中报头描述了数据的目的地以及和其它数据之间的关系。可以理解为传输数据的分组。我们将通过网络传输的数据的基本
日志分析技术
weixin_30343157的博客
08-17 271
算法: 创建四个list对应存储不同的响应时间段 读入日志文件每行内容,依次存入列表 1.取出日志文件中每一次处理请求的时间,存入相应的list   1.1 取出时间字符串 先找到“op takes ”的位置-->idx1 再找到 idx1 其后面紧跟着的第一个空格的位置-->idx2   这行日志[idx1:...
日志分析——从概念到应用
weixin_34242331的博客
09-30 817
2019独角兽企业重金招聘Python工程师标准>>> ...
oracle insert 触发器无效_详解一个Oracle新特性--INSERT ALL/ANY,让你的sql更高效
weixin_39965102的博客
12-08 492
概述分享一个最近在给部门培训时用的一个新特性,INSERT ALL/ANY。这里先看一下下面这个场景。需求从一张表取数据插入到另一张表中,此外需要为插入的目标表做一个应用级的日志表,也就是说在插入目标表的同时,还需要将相同的数据插入到日志表中。大家可以想一下,如果是你,会怎么去实现这个需求?方案1:考虑触发器不过方案1存在以下几个问题:⚫ CREATE TRIGGER• 太“重”• 实现与需求有差...
日志分析题解
abc201612的博客
08-01 634
日志分析(log) 【问题描述】 M 海运公司最近要对旗下仓库的货物进出情况进行统计。目前他们所拥有的唯一记录就是一个记录集装箱进出情况的日志。该日志记录了两类操作:第一类操作为集装箱入库操作,以及该次入库的集装箱重量;第二类操作为集装箱的出库操作。这些记录都严格按时间顺序排列。集装箱入库和出库的规则为先进后出,即每次出库操作出库的集装箱为当前在仓库里所有集装箱中最晚入库的集装箱。 出于...
链接追踪系列-09.spring cloud项目整合elk显示业务日志
最新发布
suanhengzi的博客
07-14 420
参看本系列之前:服务器安装elastic search + 本机docker启动的kibana-tencent + 使用本机安装的logstash。FYI: 在sleuth官方reference.pdf给出的示例中,是通过单独写一个filter,给请求链中加一道traceId请求头。最后一步:把traceId 输出到接口请求响应头中,这样就可依据traceId去kibana中查找链路日志,排查问题。auth的日志配置如下:其中一部分,整合logstash的,gateway微服务类似。
200_ElasticSearch搭建教程1
08-08
"这教程主要介绍了如何搭建ELK日志分析环境,包括Elasticsearch、Logstash和Kibana的组合使用。ELK日志管理和分析的强大工具,其中Elasticsearch是一个分布式搜索引擎,Logstash负责日志收集和过滤,而Kibana则...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值