logstash分析sql注入攻击并将日志存储到es

已于 2023-04-29 13:19:40 修改
阅读量441 收藏 1
点赞数
文章标签: elasticsearch 大数据 网络安全
于 2023-04-21 02:18:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53137566/article/details/130279277
版权

      最近在用logstash做日志分析的时候,搜集了很多资料,但大部分都是关于logstash如何将日志各个部分加以分类存储到logstash中,没有写如何分析攻击日志的东西,所以在此我简单记录一下。

首先,logstash做日志分析最重要的还是过滤器的书写,logstash的过滤器支持grok匹配,而grok又是建立在正则表达式上面的,所以我们可以从这方面入手进行分析。

需求

1.将日志进行筛选,首先将所有日志进行常规分析,各个字段进行分类,存储到es中。

2.将可能是sql注入攻击的日志单独筛选出来,存入到es中

实现

1.首先看一下过滤器的编写

input {
file {     
   path => ["D:/logs/logs/*.log"]
   start_position => "beginning"   
   type=>"elasticsearch" 
   }
file {     
   path => ["D:/logs/logs/*.log"]
   start_position => "beginning"   
   type=>"sqlattrack" 
   }
}
filter{
if   [type] == "sqlattrack"{
    grok{
        match=>{"message" => ".*?[^a-zA-Z](?<tag_1>((and|or|union|select|insert|delete|count|updata|where))).*?"}
    }
  }
if   [type] == "elasticsearch"{
    grok{
        match=>{"message" => "%{IP:client_ip} - - \[%{HTTPDATE:timestamp}\] \"(%{WORD:verb} %{GREEDYDATA:request} HTTP/%{NUMBER:http_version}|{GREEDYDATA:request})\" %{NUMBER:response} %{NUMBER:buytes}"}
  }
 }
}
output {
if   [type] == "elasticsearch"{
    elasticsearch {
    hosts => ["192.168.137.102:9200"]
    index => "es_log_%{+YYYY.MM.dd}"
  }
    stdout{
      codec=>rubydebug
    }
}
if    [type] == "sqlattrack" and ([tag_1] =="and" or  [tag_1]=="or" or [tag_1]=="union" or [tag_1]=="select" or [tag_1]=="delete" or [tag_1]=="count" or [tag_1]=="updata" or [tag_1]=="where" or [tag_1]=="insert"){
    elasticsearch {
    hosts => ["192.168.137.102:9200"]
    index => "es_logsql_%{+YYYY.MM.dd}"
  }
    stdout{
      codec=>rubydebug
    }
}
}

logstash的config文件包含三大块,分别是input filter output,其中input和output比较好理解,相信大家看一下我的代码能看懂,我在此简单的解释一下:path就是我日志的路径,start_position是指从哪开始读,logstash默认是从文件末尾开始读的,我这里将其写为从文件首部开始读取,type字段可以自己起名,是一个标识字段,大家可以随意。我将日志读取了两遍,第一次是为了整体存储,第二次则是为了筛选可能存在攻击行为的日志,所以这两个type必须是不一样的。

output的判断是比较重要的,也就是根据type标识不同,将过滤得到的日志分别命名,存到es中。hosts就是我es的地址,index是索引名,相当于起一个在es中存储名字,可以类比做数据库的表名。我们主要看filter的写法。

在这里给大家推荐一个网址https://www.5axxw.com/tools/v2/grok.html,这个网站可以测试你的grok匹配是否正确

 第一个框填入你的日志,第二个框填入你编写的匹配规则,第三个框也就是得到的json数据。

在这里我就不解释比较简单的grok匹配了,大家可以对比一下,我将我日志的截图和分析结果放上来,这个市面上的资料是比较多的。

{
  "client_ip": [
    [
      "0:0:0:0:0:0:0:1"
    ]
  ],
  "IPV6": [
    [
      "0:0:0:0:0:0:0:1"
    ]
  ],
  "IPV4": [
    [
      null
    ]
  ],
  "timestamp": [
    [
      "21/Apr/2023:00:11:52 +0800"
    ]
  ],
  "MONTHDAY": [
    [
      "21"
    ]
  ],
  "MONTH": [
    [
      "Apr"
    ]
  ],
  "YEAR": [
    [
      "2023"
    ]
  ],
  "TIME": [
    [
      "00:11:52"
    ]
  ],
  "HOUR": [
    [
      "00"
    ]
  ],
  "MINUTE": [
    [
      "11"
    ]
  ],
  "SECOND": [
    [
      "52"
    ]
  ],
  "INT": [
    [
      "+0800"
    ]
  ],
  "verb": [
    [
      "GET"
    ]
  ],
  "request": [
    [
      "/picture/1.jpg"
    ]
  ],
  "http_version": [
    [
      "1.1"
    ]
  ],
  "BASE10NUM": [
    [
      "1.1",
      "200",
      "259033"
    ]
  ],
  "response": [
    [
      "200"
    ]
  ],
  "buytes": [
    [
      "259033"
    ]
  ]
}

然后给大家看一下他们在es中的存储样子

{
"_index": "es_log_2023.04.20",
"_type": "_doc",
"_id": "nv6unocBASMToJ6DaD2a",
"_version": 1,
"_score": 1,
"_source": {
"@version": "1",
"buytes": "433714",
"message": "0:0:0:0:0:0:0:1 - - [11/Apr/2023:08:23:19 +0800] "GET /js/vue.js HTTP/1.1" 200 433714 ",
"type": "elasticsearch",
"timestamp": "11/Apr/2023:08:23:19 +0800",
"request": "/js/vue.js",
"host": "WIN-Q87V9552R8L",
"verb": "GET",
"http_version": "1.1",
"response": "200",
"client_ip": "0:0:0:0:0:0:0:1",
"path": "D:/logs/logs/1.log",
"@timestamp": "2023-04-20T12:40:42.420Z"
}
}

 这些就是比较常规的,接下来我具体讲一下sql攻击匹配,可能方法比较笨,但百度实在找不到相关的东西,这也是我自己琢磨的。

首先是先找一个sql攻击的日志,然后匹配一下,这个比较简单,对你自己的网站进行sql注入攻击,得到的日志粘到刚才那个网站测试就好了。

.*?[^a-zA-Z](?<tag_1>((and|or|union|select|insert|delete|count|updata|where))).*?

这是我写的一个比较简单的匹配规则,.*?的意思是非贪婪匹配,匹配任意长度的任何字符串,但是是尽可能匹配少的,两边都是.*?也就是说这两边出现什么都可以,主要是有没有我括号里面的东西。

?<tag_1>的解释: tag_1是我自己起的名字,就是相当于变量名,他的匹配规则就是我后面写的那些,当匹配到后面的东西时,他的值就是匹配到的东西,否则就是null。在我的表达式里面,我仅对几种比较常见可能存在sql注入攻击的字符进行匹配,大家可以根据我这个写法进行扩写

然后看output就比较轻松了,当tag_1的字符是这几个时,可能是攻击行为,将其存到可能存在攻击的日志中。

秋水木华
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
注入攻击日志分析
11-06
一般的注入攻击日志分析 SQL注入案例回顾 IIS日志系统概述 IIS日志分析工具及方法
22.ELK-部署logstash来取日志并转发给ES
JCWang的博客
07-20 1230
部署logstash来取日志并转发给ES 下载logstash安装包,存放到/opt/es-software目录 下载地址:https://mirrors.tuna.tsinghua.edu.cn/elasticstack/yum/elastic-6.x/6.6.0/ logstash量级比filebeat重,而且比较吃内存,所以日常收集日志的工作交给filebeat来处理 安装logstash rpm -ivh logstash-6.6.0.rpm 添加一个配置文件 cd /etc/logstash/c
4.12网安学习日志sql注入)中篇
qq_61035923的博客
04-12 1049
这个实验还是挺有趣的,从一开始的一无所有到后面的逐步深入获取信息,让人有一种莫名的成就感(❁´◡`❁)。
logstash收集日志输出到es通过kibana做日志分析
Learn From The Masters
03-31 1711
一、安装logstash, es, kibana 二、配置应用 1. 配置pom.xml,增加 <dependency> <groupId>net.logstash.logback</groupId> <artifactId>logstash-logback-encoder</artifactId> <version>7.0.1</versio
ELK系列(四)、Logstash读取nginx日志写入ES
王义凯 的博客
05-23 8226
前面讲了ELK的部署以及Logstash的插件的安装方式,本篇就介绍一下如何使用Logstash读取nginx的日志,并写入ES中,通过Kibana分析。 ELK系列(一)、安装ElasticSearch+Logstash+Kibana+Filebeat-v7.7.0 ELK系列(二)、在Kibana中使用RESTful操作ES库 ELK系列(三)、安装Logstash插件及打包离线安装包 -----------------------------使用Logstash读取nginx日志-------
Logstash 导入数据到 ES
weixin_49818933的博客
07-01 2817
安装后的日志文件目录 /var/log/logstash-stdout.log /var/log/logstash-stderr.log 导入的设置文件路径 /etc/logstash/conf.d ORACLE转ES 使用 logstash-input-jdbc 插件读取 oracle 的数据,这个插件的工作原理比较简单,就是定时执行一个 sql,然后将 sql 执行的结果写入到流中,增量获取的方式没有通过 binlog 方式同步,而是用一个递增字段作为条件去查询,每次都记录当
使用logstash将mysql/sql server数据自动导入elasticsearch
星辉Johnson的博客
12-04 3670
当一个网站的信息不断增长的情况下,各种数据直接检索从数据库遇到瓶颈时,我们常常会使用elasticsearch来做全文索引,从而提高用户的检索体验。我下面使用当下流行的docker容器来实现这一切,当然用户可以直接在服务器上安装对应的软件包,无需使用docker方式,大同小异。   1. 下载需要用到的镜像 $ docker pull elasticsearch $ docker pull...
IIS攻击日志
10-22
3. **Splunk** 和 **ELK Stack (Elasticsearch, Logstash, Kibana)**: 提供强大的日志收集、存储、搜索、分析和可视化功能,帮助企业进行安全监控。 4. **Nessus** 和 **OpenVAS**: 安全扫描工具,可检测IIS服务器的...
Web服务器日志统计分析完全解决方案.pdf
09-27
2. 开源工具:如Logstash进行日志收集和处理,Elasticsearch进行日志存储和搜索,Kibana用于数据可视化。 3. 自定义脚本:使用Python、Perl、awk等编程语言编写脚本,灵活处理特定需求。 4. 商业工具:如Splunk、...
LOG-PDF.rar
02-12
安全日志分析是重点,包括识别常见的攻击模式,如SQL注入、DDoS攻击、恶意IP等,并学习如何使用`fail2ban`等工具防止这些攻击。同时,还会涉及审计日志分析,理解如auditd系统如何记录和审查系统行为。 除此之外...
网上绝无仅有的Log分析教程及例子.zip
11-05
- **ELK Stack**:ElasticsearchLogstash、Kibana组合,提供强大的日志收集、索引和可视化功能。 - **Splunk**:商业日志分析平台,支持实时分析和复杂的查询语言。 6. **Log分析实例**: - **故障排查**:...
SQL注入 基础
04-30
SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。
网络安全相关的密码学、网络攻防、安全分析等教程.zip
最新发布
06-09
工具如Wireshark用于网络流量捕获,Snort进行网络入侵检测,以及ELK(ElasticsearchLogstash、Kibana)套件用于日志管理和分析。 文档"知识净土,仅供耕耘;商海浪潮,请勿翻涌.docx"可能包含了对网络安全领域更...
使用ES集群做日志系统技术实践分享
qwertyuiopasdfghjklzxcvbnm
02-06 1760
ELK 日志系统搭建
一次线上ctf的日志分析(sql注入),网络协议分析,内存取证
weixin_50464560的博客
09-16 4119
拿到的是两个东西 我们先看secret.log 很多乱码但是有一串16进制数 把这段复制下来,我们放到HxD看 点击新建,直接粘贴 发现不对,观察头部,发现少了一个数(5) 因为加上5就是一个rar头部 即 导出来,改成ya.rar 要密码 我们看password.pcapng 输入过滤找post 有些很奇怪的东西 查询后知道这是jsfuck加密,具体看这里:https://blog.csdn.net/weixin_50464560/article/details/1203..
日志分析篇---MSSQL日志分析
永不垂头的博客
04-28 2312
日志分析篇—MSSQL日志分析 前言 常见的数据库攻击包括弱口令、SQL注入、提升权限、窃取备份等。对数据库日志进行分析,可以发现攻击行为,进一步还原攻击场景及追溯攻击源。 文章目录日志分析篇---MSSQL日志分析前言一、MSSQL日志分析二、SQL注入入侵痕迹1.构造一个SQL注入点,开启Burp监听8080端口2.检查方法:三、我的公众号 一、MSSQL日志分析 首先,MSSQL数据库应启用日志记录功能,默认配置仅限失败的登录,需修改为失败和成功的登录,这样就可以对用户 登录进行审核。 登录到SQL
SQL故障和排查解决浅析
liulanba的博客
09-14 1761
慢SQL是指在数据库中执行的SQL查询或操作的执行时间超过了预期或可接受的时间。这可能是由多种原因引起的,包括查询优化不当、索引缺失、不合理的数据模型设计、高并发负载等。
logstash学习——02
a123123sdf的博客
11-24 1880
目录标题一、File(Input plugins)(一)插件介绍(二)配置项(三)实例二、Grok (filter plugins)(一)插件介绍(二)配置项(三)实例三、elasticsearch (output plugins)(一)插件介绍(二)配置项(三)实例四、TCP (input plugins)(一)插件介绍(二)配置项(三) 实例五、在线工具六、参考 一、File(Input plugins) (一)插件介绍 从文件中流式传输事件,通常通过以类似于tail -0F但可选地从头读取它们的方式拖
logstash读取mysql表数据_Logstash : 从 SQL Server 读取数据
weixin_28677005的博客
01-20 882
有些既存的项目把一部分日志信息写入到数据库中了,或者是由于其它的原因我们希望把关系型数据库中的信息读取到 elasticsearch 中。这种情况可以使用 logstash 的 jdbc input 插件从关系型数据库中读取日志数据,然后输出到 elasticsearch 中。本文介绍如何在 windows 系统中配置 logstash 从 SQL Server 数据库中读取数据。说明:演示的环境...
logstash sqlserver 到elasticsearch
11-15
Logstash是一个开源的数据收集引擎,可以从各种源(例如SQL Server)收集数据并将其转发到目标存储(例如Elasticsearch)。 首先,您需要在Logstash的配置文件中定义输入和输出插件。对于SQL Server,您可以使用`jdbc`插件来连接数据库并执行查询,然后使用`elasticsearch`插件将结果发送到Elasticsearch。 在配置文件中,您需要提供SQL Server数据库的连接详细信息,例如主机名、端口、数据库名称、用户和密码。您还需要指定要执行的查询语句和将数据发送到Elasticsearch的目标索引。 以下是一个示例配置文件的概述: ``` input { jdbc { jdbc_driver_library => "path_to_sqlserver_jdbc_driver" jdbc_driver_class => "com.microsoft.sqlserver.jdbc.SQLServerDriver" jdbc_connection_string => "jdbc:sqlserver://<host>:<port>;databaseName=<database>" jdbc_user => "<username>" jdbc_password => "<password>" schedule => "* * * * *" statement => "SELECT * FROM <table>" } } output { elasticsearch { hosts => ["localhost:9200"] index => "my_index" } } ``` 在这个示例中,Logstash将每分钟执行一次查询,并将结果发送到名为`my_index`的Elasticsearch索引中。 通过运行Logstash并指定配置文件,您可以开始将数据从SQL Server导入到Elasticsearch。例如,使用以下命令运行Logstash: ``` bin/logstash -f path_to_config_file.conf ``` Logstash将会自动连接到SQL Server数据库,执行查询,并将结果发送到Elasticsearch。 总结起来,使用Logstash的`jdbc`和`elasticsearch`插件,可以轻松实现从SQL Server到Elasticsearch的数据传输。只需定义合适的配置文件,并在Logstash中运行它即可。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值