快速搭建 ELK + OpenWAF 环境

最新推荐文章于 2022-12-30 18:20:01 发布
最新推荐文章于 2022-12-30 18:20:01 发布
阅读量412 收藏
点赞数
文章标签: 大数据 json 运维
原文链接:https://my.oschina.net/qijian/blog/1186415
版权

OpenWAF简介

OpenWAF是第一个全方位开源的Web应用防护系统(WAF),他基于nginx_lua API分析HTTP请求信息。OpenWAF由行为分析引擎和规则引擎两大功能引擎构成。其中规则引擎主要对单个请求进行分析,行为分析引擎主要负责跨请求信息追踪。

规则引擎的启发来自modsecuritylua-resty-waf,将ModSecurity的规则机制用lua实现。基于规则引擎可以进行协议规范,自动工具,注入攻击,跨站攻击,信息泄露,异常请求等安全防护,支持动态添加规则,及时修补漏洞。

行为分析引擎包含基于频率的模糊识别,防恶意爬虫,人机识别等防探测模块,防CSRF,防CC,防提权,文件上传防护等防攻击模块,cookie防篡改,防盗链,自定义响应头,攻击响应页面等防信息泄露模块。

除了两大引擎之外,还包含统计,日志,攻击响应页面,接入规则等基础模块。除了已有的功能模块,OpenWAF还支持动态修改配置, 动态添加第三方模块,使得在不重启引擎中断业务的条件下,升级防护。

OpenWAF支持将上述功能封装为策略,不同的web application应用不同的策略来防护。将来还会打造云平台,策略还可分享供他人参考。

ELK简介

ELK是三个不同工具的简称,组合使用可以完成各种日志分析

Elasticsearch: 是一个基于 Apache Lucene(TM) 的开源搜索引擎,简单点说就是用于建立索引并存储日志的工具

Logstash: 是一个应用程序,它可以对日志的传输、过滤、管理和搜索提供支持。我们一般用它来统一对应用程序日志进行收集管理,提供Web接口用于查询和统计

Kibana: 用于更友好的展示分析日志的web平台,简单点说就是有图有真相,可以在上面生成各种各样的图表更直观的显示日志分析的成果

安装

ELK 的安装,网上有很多,这里只描述 docker 方式的部署

Elasticsearch

  1. 拉取 elasticsearch docker 镜像
    docker pull elasticsearch
  1. 启动 elasticsearch 容器
    docker run -d --name openwaf_es elasticsearch
  1. 获取 openwaf_es 地址
    docker inspect openwaf_es | grep IPAddress  
    得到地址为:192.168.39.17
    
    PS: elasticsearch 服务端口为 9200

Logstash

  1. 拉取 logstash docker 镜像
    docker pull logstash
  1. 启动 logstash 容器
    docker run -it --name openwaf_logstash -v /root/logstash.conf:/usr/share/logstash/config/logstash.conf logstash -f /usr/share/logstash/config/logstash.conf
PS:
    /root/logstash.conf 文件内容如下:
    udp {                  # udp 服务配置
        port => 60099      # 表示日志服务器监听在 60099 端口
        codec => "json"    # 接收 json 格式信息
    }
    output {
        elasticsearch {
            hosts => ["192.168.39.17:9200"] # elasticsearch 的地址为 39.17,且端口为 9200
        }
    }
    上面的配置表示:openwaf 向 logstash 的 60099 端口,发送 udp 协议的 json 日志,然后 logstash 将其存入 Elasticsearch
  1. 获取 openwaf_logstash 地址
    docker inspect openwaf_logstash | grep IPAddress  
    得到地址为:192.168.39.18

Kibana

  1. 拉取 kibana docker 镜像
    docker pull kibana
  1. 启动 logstash 容器
    docker run -d --name openwaf_kibana -e ELASTICSEARCH_URL=http://192.168.39.17:9200 kibana
  1. 获取 openwaf_kibana 地址
    docker inspect openwaf_kibana | grep IPAddress  
    得到地址为:192.168.39.19
    
    PS: kibana 服务端口为 5601

OpenWAF配置

conf/twaf_default_conf.json 中 twaf_log 模块

    "twaf_log": {
        "sock_type":"udp",
        "content_type":"JSON",
        "host":"192.168.39.18",
        "port":60099,
        ...
    }

测试

测试版 OpenWAF 地址 192.168.36.44,反向代理后端服务器 192.168.39.216

现访问 192.168.36.44/?a=1 order by 1

访问结果如下:

拦截信息

此时,访问 192.168.39.19:5601,在 kibana 上查看日志

若第一次使用 kibana,需要生成一个索引,如下(使用默认):

kibana创建索引

kibana 日志显示如下:

kibana日志显示

kibana 功能强大,可以做各种视图,用来分析日志,生成报表,更多功能请看 kibana官方文档

了解更多: OpenWAF OpenWAF安装篇

转载于:https://my.oschina.net/qijian/blog/1186415

chouqiong6839
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Centos7搭建ELK+filebeat.docx
08-24
【Centos7搭建ELK+filebeat】 ELK(Elasticsearch、Logstash、Kibana)是一个流行的日志分析和管理系统,它允许用户收集、处理、存储和可视化各种来源的日志数据。Filebeat作为轻量级的日志收集代理,常被用于与ELK...
kibana集成内部账号_#kibana安全:设置访问账号密码
weixin_42674361的博客
01-13 195
步骤一:虚拟机上安装nginx[avatar@search2.es.test.bj1 ~]$ sudo yum install nginx已安装:nginx.x86_64 0:1.6.2-23.el6.art作为依赖被安装:GeoIP.x86_64 0:1.6.5-1.el6 GeoIP-GeoLite-data.noarch 0:2015.04-2.el6 GeoIP-GeoL...
搭建x-waf,测试体验web防护
最新发布
yangyouchang的专栏
12-30 982
X-WAF是一款适用中、小企业的云WAF系统,让中、小企业也可以非常方便地拥有自己的免费WAF
云小课|基于华为云WAF的日志运维分析,构筑设备安全的城墙
华为云官方博客
12-02 919
云日志服务用于收集来自主机和云服务的日志数据,通过海量日志数据的分析与处理,可以将云服务和应用程序的可用性和性能最大化,为您提供实时、高效、安全的日志处理能力,帮助您快速高效地进行实时决策分析、设备运维管理、用户业务趋势分析等。
ELK7.9分析Nginx-waf模块日志
傻笑zz的博客
08-08 875
背景        目前有一台腾讯云服务器,在公网上提供了web服务,使用的架构为LNMP,并且为了加固web服务的安全,安装了nginx的ngx_lua_waf模块,可以轻微阻挡一些SQL注入等其余web攻击,也开启了waf模块的日志记录功能。针对目前的一个情况,需要对waf模块的日志进行分析,定期检查web服务器是否存在潜在的危机,下面就跟着我的步骤一起来看一下,如何借助ELK日志分析平台对nginx的waf日志进行分析,并针对分析的
OpenWAF+ elk 安装
州官已放火的博客
10-26 3341
 最近公司需要搭建保护,公司网站的软件,于是选择了,OpenWAF+elk结合的搭建方式具体过程如下: 过程中参考连接有: 1.openwaf : https://www.w3cschool.cn/openwaf/openwaf-8tr524ot.html) 2. ELK的帮助手册: Docker Hub官网:https://hub.docker.com/r/sebp/elk/ Doc...
快速搭建ELK日志分析系统
01-07
官网地址:...ELK是Elasticsearch、Logstash、Kibana的简称,这三者是核心套件,但并非全部。 Elasticsearch是实时全文搜索和分析引擎,提供搜集、分析、存储数据三大功能;是一套开放REST和JAVA API等结
Elk+filebeat搭建日志系统1
08-03
**搭建ELK日志系统的步骤**: 1. **环境准备**: 首先确保你有一台运行CentOS 7的服务器,并安装了Java 8和Node.js v9.8.0(因为Kibana依赖Node.js)。然后,你需要下载ELK栈的四个组件:Filebeat、Logstash、...
WAF安全应用防火墙(openresty部署)
******* ▄︻┻┳═一 *******
06-13 2万+
一、了解WAF1、定义 Web应用防护系统(也称:网站应用级入侵防御系统 。英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法:Web应用 防火墙 是通过执行一系列针对http/https的 安全策略 来专门为Web应用提供保护的一款产品。2、WAF的功能 支持IP白名单和黑名单功能,直接将黑名单的IP访问拒绝。 支持URL白名单,将不需要过滤的
亚马逊云科技 WAF 部署小指南(一) WAF原理、默认部署及日志存储
亚马逊云科技专栏
03-24 7497
什么是亚马逊云科技WAF?亚马逊云科技WAF是一个网页应用的防火墙服务。它能帮助保护您的网页应用或网页API应对常见的网页攻击。这些攻击会影响应用的可用性,产生安全风险,或消耗过量的计算资源。使用WAF是对网页应用增加深度防御的好办法。WAF 可以帮助应对类似SQL注入、CSS和其他常见的漏洞攻击。WAF允许您创建自己的定制规则在HTTP请求到达应用之前决定是阻断还是允许...
使用 ModSecurity 和 ELK 进行持续安全监控
allway2的博客
08-11 1868
在这篇博客中,我们将讨论如何在应用程序前面将 ModSecurity 设置为 Web 应用程序防火墙 (WAF),它将其日志发送到 ELK(Elasticsearch、Logstash、Kibana)堆栈以进行监控,并将 ElastAlert 用于警报。审计日志包含有关 ModSecurity 检测到恶意事件时生成的日志的详细信息,并包含有关系统客户端请求的有用信息,包括客户端标头和数据负载,默认情况下未启用,可以通过“modsecurity. conf”配置文件。它使用文本模式来匹配日志文件中的行。...
ELK分析ngx_lua_waf软件防火墙日志
weixin_34248487的博客
07-28 972
ELK分析ngx_lua_waf软件防火墙日志ngx_lua_waf介绍及部署可以参考https://github.com/loveshell/ngx_lua_waf 这个一个基于lua-nginx-module的web应用防火墙,作者是张会源(ID : kindle),微博:@神奇的魔法师。用途:防止sql注入,本地包含,部分溢出,fuzzing测试,xss,×××F等we...
OpenWAF
weixin_34378922的博客
06-18 1023
OpenWAF开源地址 : https://github.com/titansec/OpenWAF 部署安装文档: https://www.w3cschool.cn/openwaf/openwaf-jxhy24os.html 转载于:https://www.cnblogs.com/petersonx/p/11043229.html...
WAF学习之日志搭建——基于Logstash的正则处理
weixin_38719347的博客
03-06 778
文章目录背景Logstash 背景 对于modsecurity在Nginx下输出的日志: 107:2020/03/05 18:07:13 [error] 3613#0: [client 127.0.0.1] ModSecurity: Warning. detected SQLi using libinjection with fingerprint 'X' [file "/usr/local/n...
等保2.0来了,分享一个可落地的等保建设方案
weixin_30496431的博客
08-08 565
企业在安全方面最关注的其实是业务安全、数据安全与安全检查,这篇文章来讲解一下我对于等保过检的经验与建设。 不同于其他建设文章,本文会给出很多落实方面的建议与方法,希望企业可以通过这篇文章,顺利通过过检任务,并保证安全的投入成本与收益的比率。 一、管理 一个企业的安全性最终体现在管理与运营,随着安全越发受重视,企业在安全管理方面也要与时俱进。 1拓扑图 很...
waf日志分析解决方案
focus on security
06-09 1447
首先是来自于外部搜集的规则以及我们内部整理的规则,这是一个初始来源。 我们会将规则动态加载到一个基于storm的实时计算流量的框架,相当于做一个只检测不拦截的测试。 通过把报警日志做离线分析后,统计出其中的漏报误报,对偏差较大的规则进行修改优化后,加入到规则中,这样就形成了一个闭环。在运营维护过程中,不断的去优化规则。 通过长时间的观察和经验,我们发现误报的日志在一些特征值上有着明显的区别,比如该IP距离上次请求的时间间隔会比较大。那么根据我们提取出来的规则,我们会整理一份训练...
打造一款可靠的WAF(Web应用防火墙)
Enweitech Software Works
12-26 2万+
之前写了一篇《WAF防御能力评测及工具》,是站在安全运维人员选型WAF产品的角度来考虑的(优先从测试角度考虑是前职业病,毕竟当过3年游戏测试?!)。本篇文章从WAF产品研发的角度来YY如何实现一款可靠的WAF,灵感来自ModSecurity等,感谢开源。 本片文章包括三个主题 (1) WAF实现 WAF包括哪些组件,这些组件如何交互来实现WAF防御功能  (2)WAF规则(策
WAF基本原理与部署方式
热门推荐
曹世宏的博客
06-14 6万+
WAF介绍 WAF是什么? WAF的全称是(Web Application Firewall)即Web应用防火墙,简称WAF。 国际上公认的一种说法是:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。 WAF常见的部署方式: WAF常见部署方式 WAF一般部署在Web服务器之前,用来保护Web应用。 那么WAF能做什么? WAF可以过滤HTTP/HTTPS协议流量,防护Web攻击。 WAF可以对Web应用进行安全审计 WAF可以防止CC攻击 应用
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值