应急响应篇——日志采集工具

一、日志采集
1、观星应急工具：（Windows系统日志）
SglabIr_Collector是qax旗下的一款应急响应日志收集工具，
能够快速收集服务器日志，并自动打包，将收集的文件上传观心平台即可自动分析。

2、七牛Logkit：(Windows&Linux&Mac等)
项目地址：https://github.com/qiniu/logkit

二、日志查看
1、LastActivityView -windows活动记录分析
https://www.nirsoft.net/utils/computer_activity_view.html
记录电脑的所有操作

2、Fulleventlogview -windos日志事件查看器
https://www.nirsoft.net/utils/full_event_log_view.html
自动提取查看日志，可根据需求筛选

三、日志分析
1、Web - 360星图（IIS/Apache/Nginx）
配置config.conf后直接打开start.bat
缺点：支持的检测较少

2、Web - GoAccess（任何自定义日志格式字符串，安全涉及少）
https://github.com/allinurl/goaccess
使用手册：
https://goaccess.io/man
输出报告：
goaccess -f /home/wwwlogs/access.log --log-format=COMBINED > /root/aa.html
实时监控：
goaccess -f /home/wwwlogs/access.log --log-format=COMBINED --real-time-html > /home/wwwroot/default/x.html

1、小巧简单解析Windows登录日志：
单机服务器有价值，内网的域服务器分析少
https://github.com/spaceman-911/WindowsLocalLogAnalysis
只能进行一些简单的win系统日志提取分析，登录、爆破行为等

2、可视化解析Windows登录日志：
单机服务器有价值，内网的域服务器也有分析
项目地址：https://github.com/JPCERTCC/LogonTracer
搭建参考：https://mp.weixin.qq.com/s/h22VYZc86TNFlGbUQqLj9Q

3、这款工具更偏识别Windows日志中的威胁信息：
项目地址：https://github.com/countercept/chainsaw
使用Sigma规则搜索所有evtx文件以了解检测逻辑并以CSV格式输出到结果文件夹
chainsaw.exe hunt output/ -s sigma/ --mapping mappings/sigma-event-logs-all.yml -r rules/ --csv --output results

4、针对Windows事件日志的威胁搜寻统计数据来发现异常：
https://github.com/ahmedkhlief/APT-Hunter
d:\Python3.8\python.exe APT-Hunter.py -sigma -rules rules.json -p output/ -o Project2

Linux项目：
https://github.com/grayddq/GScan
https://github.com/enomothem/Whoamifuck
https://github.com/Ashro-one/Ashro_linux