蓝队应急响应-日志自动提取与分析-七牛logkit、观星、Gscan、Logon Tracer、360星图、Goaccess、ALB、Anolog

于 2024-06-13 15:58:28 发布
阅读量1.7k 收藏 34
点赞数 35
分类专栏: 网络安全 护网蓝队 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shhhhw/article/details/139656506
版权

目录

 #日志自动提取——七牛Logkit&观星应急工具

1、七牛Logkit(适用Windows&Linux&Mac等)

2、观星应急工具(只适用Windows系统日志)

#日志自动分析——操作系统——Gscan&LogonTracer

1、Linux系统——Gscan

2、Windows系统——Logon Tracer

#日志自动分析——web——360星图&Goaccess&ALB&Anolog

1、360星图(只使用于IIS/Apache/Nginx)

2、GoAccess(只能看遭受CC攻击等,没法看攻击者进行什么web攻击)

3、ALB自写脚本(任何自定义日志格式字符串)

4、analog(任何自定义日志格式字符串)

 #日志自动提取——七牛Logkit&观星应急工具

1、七牛Logkit(适用Windows&Linux&Mac等)

GitHub - qiniu/logkit: Very powerful server agent for collecting & sending logs & metrics with an easy-to-use web console.

支持的数据源(各类日志,各个系统,各个应用等)

File: 读取文件中的日志数据,包括csv格式的文件,kafka-rest日志文件,nginx日志文件等,并支持以grok的方式解析日志。

Elasticsearch: 读取ElasticSearch中的数据。

MongoDB: 读取MongoDB中的数据。

MySQL: 读取MySQL中的数据。

MicroSoft SQL Server: 读取Microsoft SQL Server中的数据。

Postgre SQL: 读取 PostgreSQL 中的数据。

Kafka: 读取Kafka中的数据。

Redis: 读取Redis中的数据。

Socket: 读取tcp\udp\unixsocket协议中的数据。

Http: 作为 http 服务端,接受 POST 请求发送过来的数据。

Script: 支持执行脚本,并获得执行结果中的数据。

Snmp: 主动抓取 Snmp 服务中的数据。

有日志采集收集器,就是根据需求提取上面列举的应用日志,还有系统信息采集收集器,就是提系统的日志

2、观星应急工具(只适用Windows系统日志)

SglabIr_Collector是qax旗下的一款应急响应日志收集工具,能够快速收集服务器日志,

并自动打包,将收集的文件上传观心平台即可自动分析。

#日志自动分析——操作系统——Gscan&LogonTracer

1Linux系统——Gscan

2Windows系统——Logon Tracer

Windows系统安全事件日志取证工具:LogonTracer-腾讯云开发者社区-腾讯云 (tencent.com)

https://github.com/ffffffff0x/f8x(自动搭建项目)

https://github.com/JPCERTCC/LogonTracer(建议手工安装不要docker安装)

如何安装使用:

Home · JPCERTCC/LogonTracer Wiki · GitHub

不建议Docker安装:

Windows系统安全事件日志取证工具:LogonTracer - FreeBuf网络安全行业门户

docker pull jpcertcc/docker-logontracer

docker run

–detach

–publish=7474:7474 --publish=7687:7687 --publish=8080:8080

-e LTHOSTNAME=你的ip

jpcertcc/docker-logontracer

建议手工安装:

1.下载并解压neo4j:tar -zvxf neo4j-community-4.2.1-unix.tar

2.安装java11环境:sudo yum install java-11-openjdk -y

3.修改neo4j配置保证外部访问:

dbms.connector.bolt.listen_address=0.0.0.0:7687

dbms.connector.http.listen_address=0.0.0.0:7474

./bin/neo4j console &

4.下载LogonTracer并安装库:

git clone GitHub - JPCERTCC/LogonTracer: Investigate malicious Windows logon by visualizing and analyzing Windows event log

pip3 install -r requirements.txt

5.启动LogonTracer并导入日志文件分析

python3 logontracer.py -r -o [PORT] -u [USERNAME] -p [PASSWORD] -s [IP地址]

python3 logontracer.py -r -o 8080 -u neo4j -p xiaodi -s 47.98.99.126

python3 logontracer.py -e [EVTX文件] -z [时区] -u [用户名] -p [密码] -s [IP地址]

python3 logontracer.py -e Security.evtx -z -13 -u neo4j -p xiaodi -s 127.0.0.1

6.刷新访问LogonTracer-web_gui查看分析结果

踩坑:1、上传按钮不能上传 2.上传失败记得上传选模式对应值

#日志自动分析——web——360星图&Goaccess&ALB&Anolog

1360星图(只使用于IIS/Apache/Nginx

优点:可视化,还可以看到具体进行什么web攻击

缺点:只适用IISApacheNginx,只有.net和php语言的,没有java语言,适用范围小

修改配置文件中,路径修改为要进行分析的文件路径,其他根据需要更改

双击start.bat开始分析,分析后会将结果保存在result文件中

打开html文件可以看到分析报告,有哪个ip对web进行哪种攻击的详细说明

可疑访问

漏洞攻击

2GoAccess(只能看遭受CC攻击等没法看攻击者进行什么web攻击

(任何自定义日志格式字符串)

GitHub - allinurl/goaccess: GoAccess is a real-time web log analyzer and interactive viewer that runs in a terminal in *nix systems or through your browser.

使用手册:

GoAccess - Manual Page

输出报告:(分析路径/home/wwwlogs/access.log的日志文件,形成报告放在当前目录下的aa.html文件中,路径根据需求更改)

goaccess -f /home/wwwlogs/access.log --log-format=COMBINED > ./aa.html

实时监控:

goaccess -f /home/wwwlogs/access.log --log-format=COMBINED --real-time-html

3ALB自写脚本(任何自定义日志格式字符串)

python ALB.py -f F:\access.log -t 200

根据正则匹配对日志进行分析,得到result.txt文件,缺点:不是可视化的,看起来比较费劲

4analog(任何自定义日志格式字符串)

GitHub - Testzero-wz/analog: 一款基于机器学习的Web日志统计分析与异常检测命令行工具

需要配置数据库,将日志分析结果放到数据库中,需要使用数据库语言进行筛选

shhhhw
关注
  • 35
    点赞
  • 34
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
分析工具箱v1.0-shiro解密工具
03-03
分析工具箱v1.0——Shiro解密工具 (应急响应工具集)
analog:一款基于机器学习的Web日志统计分析与异常检测命令行工具
05-01
一款基于机器学习的Web日志统计分析与异常检测命令行工具 · · analog 是一款命令行下的Web日志审计工具,旨在帮助使用者能够在终端上快速得进行Web日志审计和排查,包含了日志审计、统计的终端图形化和机器学习识别恶意请求的功能。 完整项目文档: 特征提取、模型选取、参数优化等相关问题讨论: 目录 恶意请求分析 Installation Configuration Prepare For Abnormal Detection About TODO Reference Presentation 访问量统计 analog> show statistics requests current day 日志审查 analog> show log of current month IP、请求等统计 analog> show statistic
探秘强大的日志收集神器:Logkit-Community
最新发布
gitblog_00068的博客
05-14 384
探秘强大的日志收集神器:Logkit-Community 项目地址:https://gitcode.com/qiniu/logkit Logkit-Community 是一款由七云开发的极其强大的服务器端日志和指标数据采集工具,它配有一个直易用的Web控制台,简化了从各种来源收集和发送数据的过程。无论是文件、数据库还是消息列,Logkit 都能轻松应对。 项目介绍 Logkit 社区版提供...
Web日志安全分析工具——360星图简单介绍与使用
热门推荐
W小哥
04-13 1万+
360星图介绍 优点: 一款非常好用的网站访问日志分析工具,可以有效识别Web漏洞攻击、CC攻击、恶意爬虫扫描、异常访问等行为。一键自动分析,输出安全分析报告,支持iis/apache/nginx日志,支持自定义格式。 缺点: 支持的日志类型较少,智能用于小网站日志分析,对于数据量很大的网站不适合 下载地址: 官方下载地址:https://wangzhan.qianxin.com/activity/xingtu 目前官方已经停止维护,可自己百度下载 360星图使用案例 apache日志: 如下图所示,日志
-应急响应-日志分析
weixin_58782362的博客
01-06 1582
安装方法一:强烈推荐,因为这里面搭载了很懂工具,不需要太多复杂的环境,特别方便:https://github.com/ffffffff0x/f8x(自动搭建项目)在日常进行日志分析的时候,显示将服务器主机日志全都收集起来,然后将日志放到自动识别脚本当中,就能进行自动分析,最后将有异常的ip直接拉黑即可。360星图是比较老的工具,主要是只支持三种插件,但用起来特别舒服,特别是图形化的结果,看起来特别舒服。此工具还行,但是没有可视化,作者用的是正则表达式,然后将日志中的关键词进行提取输出。
nginx日志分析,实时可视化工具goaccess
第九系艾文
07-13 3492
一款可以实时分析NGINX访问日志,并且支持可视化的软件
Ngxtop-Nginx日志实时分析利器_nginx日志分析,这操作真香
2301_77118221的博客
04-18 835
16、mysql的innodb如何定位锁问题,mysql如何减少主从复制延迟?2、在工作中,运维人员经常需要跟运营人员打交道,请问运营人员是做什么工作的?6、Squid、Varinsh和Nginx有什么区别,工作中你怎么选择?5、LVS、Nginx、HAproxy有什么区别?9、讲述一下Tomcat8005、8009、8080三个端口的含义?7、Tomcat和Resin有什么区别,工作中你怎么选择?3、现在给你三百台服务器,你怎么对他们进行管理?15、讲述一下LVS三种模式的工作过程?
Nginx的access.log日志分析工具-goaccess
weixin_42874924的博客
12-09 2906
Nginx的access.log日志分析工具-goaccess
linux日志收集工具,一个通用的日志收集工具 – logkit
weixin_32691939的博客
05-02 1510
logkit简介logkit是 七Pandora 开发的一个通用的日志收集工具,可以将不同数据源的数据方便的发送到 Pandora 进行数据分析,除了基本的数据发送功能,logkit还有容错、并发、监控、删除等功能。支持的数据源文件(包括csv格式的文件,kafka-rest日志文件,nginx日志文件等,并支持以 grok 的方式解析日志)MySQLMicrosoft SQL Server(M...
044-应急响应之“雄鸡夜鸣”.pdf
09-20
044-应急响应之“雄鸡夜鸣”.pdf
「红对抗」助力零信任安全架构的下一代_IAM - 应急响应.zip
11-29
在当前的数字化时代,网络安全已经成为了企业生存与发展的关键因素之一。本文将深入探讨「红对抗」在构建零信任安全架构中所扮演的角色,以及它如何助力新一代IAM(Identity and Access Management)应急响应策略...
awesome-cybersecurity-blueteam-cn:网络安全 · 攻防对抗 · 清单,中文版
04-14
本项目基于,经过蹩脚的翻译和一些补充,旨在帮助以中文为母语的安全研究者更好地了解工作,以及便利地找寻工具。 非常感谢原作者的整理,对于我这个的入门学习者来说,帮助非常大。也希望自己的一点点...
和红 - 就业市场.pdf
10-06
8. 事件响应:能处理安全事件,包括识别、分析、遏制、根除和恢复。 9. 风险与漏洞管理:评估、优先级排序并解决潜在的风险和漏洞。 10. 安全政策与补丁管理:制定安全政策,及时处理安全更新和补丁。 11. 文档编写...
应急响应日志自动提取分析项目&ELK&Logkit&LogonTracer&Anolog
今天是几号的博客
05-03 2786
1、七Logkit:(Windows&Linux&Mac等)支持的数据源(各类日志,各个系统,各个应用等)File: 读取文件中的日志数据,包括csv格式的文件,kafka-rest日志文件,nginx日志文件等,并支持以grok的方式解析日志。2、应急工具:(Windows系统日志)SglabIr_Collector是qax旗下的一款应急响应日志收集工具,能够快速收集服务器日志,并自动打包,将收集的文件上传心平台即可自动分析
Nginx日志分析工具
你的bug是我提的博客
08-17 2066
这个工具是由一位叫LEO的网友提供的,它的博客是http://linux5588.blog.51cto.com/,它是用python语言写的,只是用来分析nginx日志,它的输出比较简单,以IP为主,可以查看每个IP的访问的流量,次数,占比等信息。先获取这个python文件。#下载#解压缩使用:(只要接一个日志文件作为参数)......
Nginx日志检测分析工具 - WGCLOUD
yecengduoqing的博客
01-25 498
可以对Nginx的日志文件进行全面分析,包括IP、sql注入攻击、搜索引擎蜘蛛爬取记录、HTTP响应状态码、访问量最高的IP统计、扫描攻击统计等。
应急响应日志分析工具
剁椒鱼头没剁椒的博客
11-02 905
在网上当然还是有很多的日志分析,但是多数都是针对流量的日志分析,很少是针对安全的分析,同时现阶段的安全日志分析工具要不是去购买厂商的技术,要不就是单项的分析,例如360星图,很少有开源的综合性分析的。
Windows平台七批量上传工具使用教程
一起进步的博客
01-27 3128
因为原有的图形工具被废弃了,所重新找了个命令行工具(qshell)1、 先去官网 https://developer.qiniu.com/kodo/tools/1302/qshell 下载该执行文件我下载的是window 64位    文件名  qshell-windows-x64.exe因为执行时命令要敲全文件名太长  改名为 qshell.exe然后配置环境变量(环境变量配置官网有教程)这样就...
分析研判客户面试
05-01
分析研判客户面试是指在网络安全领域中,成员通过与客户进行面对面的交流和讨论,对客户的安全需求和威胁情况进行分析和研判的过程。在这个过程中,成员需要了解客户的网络架构、安全策略、安全事件历史等信息,以便为客户提供有效的安全解决方案和建议。 在分析研判客户面试中,通常会涉及以下内容: 1. 客户的网络架构和拓扑:了解客户的网络结构、主要设备和系统,以及网络连接方式等,有助于分析网络安全风险和威胁。 2. 客户的安全策略和措施:了解客户已经采取的安全措施,包括防火墙、入侵检测系统、安全审计等,以评估其有效性和完整性。 3. 客户的安全事件历史:了解客户过去发生的安全事件,包括攻击类型、攻击目标、攻击方式等,以便预测未来可能的威胁。 4. 客户的安全需求和目标:了解客户对安全的需求和期望,包括保护重要数据、防止数据泄露、提高系统可用性等,以便为客户提供定制化的安全解决方案。 在面试过程中,成员需要提出相关问题,以获取更多信息并深入了解客户的需求和情况。以下是一些可能的相关问题: 1. 您的网络架构中是否存在关键系统或数据? 2. 您是否有明确的安全策略和规范? 3. 过去一年内,您是否遭受过任何安全事件? 4. 您对当前网络安全状况有何担忧? 5. 您期望从我们这里得到什么样的安全解决方案?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值