日志分析专栏
文章平均质量分 95
关于日志分析的专题分享
「已注销」
这个作者很懒,什么都没留下…
展开
-
Nginx日志统一化
本系列故事纯属虚构,如有雷同实属巧合 为了完成对Nginx服务器的日志分析,小B对Q公司的Nginx日志做了统一化要求。下面是小B在统一化过程中遇到的一些知识点: Nginx日志与字段解析 Q公司的Nginx版本信息是:1.17.6,使用编译安装,安装过程如下: yum install zlib-devel.x86_64 zlib.x86_64 openssl.x86_64 openssl-devel.x86_64 pcre-devel.x86_64 -y # 安装lua支持,后续的response_bo原创 2021-11-04 12:54:05 · 796 阅读 · 0 评论 -
日志分析系列之介绍篇
本系列故事纯属虚构,如有雷同实属巧合 小B是Q公司的安全攻城狮,最近Q公司不太平,出现了好几次的安全攻击事件。可在事后小B却找不到被攻击的真正原因,于是领导下命令给小B,必须做到对攻击事件的检测与溯源,不然就可以卷铺盖回家了。 听到此话的小B冷汗连连,找到最近几次攻击的记录文档,认真剖析未发现真相的原因,总结如下: 系统未记录日志:部分系统无日志信息可用。 日志信息无备份:日志被攻击者删除,或因存储空间不够被删除,无备份日志可用。 采集维度不详细:日志格式为默认配置,不够详细,不能从中提取太多有效价值信息原创 2021-11-04 11:34:05 · 598 阅读 · 1 评论 -
Nginx透过代理获取真实客户端IP
本系列中的故事纯属虚构,如有雷同实属巧合 小B是’柒’公司的安全攻城狮,为了完成任务小B开始做起了调研(欲知背景如何,且听下回分说)。 首先小B弄明白了’柒’公司的应用系统架构是:Client --> CDN --> SLB --> Server。 发现在应用服务器上Nginx日志中采集的关于定位用户身份信息的IP维度数据不准确。不准确的原因是:因为在应用服务器中Nginx使用XFF与remote_addr字段采集客户IP,XFF字段很好被攻击者伪造,而remote_addr字段一般采集都原创 2021-11-04 11:23:13 · 3402 阅读 · 0 评论