蓝队应急响应-docker搭建ELK日志分析系统

最新推荐文章于 2024-08-19 18:08:18 发布
最新推荐文章于 2024-08-19 18:08:18 发布
阅读量757 收藏 8
点赞数 9
分类专栏: 网络安全 护网蓝队 日志分析 文章标签: docker elk 容器 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shhhhw/article/details/139657421
版权

目录

一、ELk日志分析系统介绍

二、ELK搭建

1、服务器配置

2、配置docker-compose.yml文件

3、配置beats-input文件

4、拉镜像、启动ELK

5、启动成功后

一、ELk日志分析系统介绍

  • Elasticsearch:用于存储收集到的日志信息;

  • Logstash:用于收集日志,SpringBoot应用整合了Logstash以后会把日志发送给Logstash,Logstash再把日志转发给Elasticsearch;

  • Kibana:通过Web端的可视化界面来查看日志。

很多日志分析的应用都不够全面,ELK解决了很多不完善的地方,是蓝队日志分析的一个好工具,是一个外国的产品,在系统下搭建很麻烦,很容易出错,如果只是日常使用,方便了解,建议在docker下搭建,如果是实战,建议在系统下搭建,毕竟docker只是个虚拟容器。

二、ELK搭建

进入docker文件夹中

1、服务器配置

设置一个进程可以拥有的VMA(虚拟内存区域)的数量

 sysctl -w vm.max_map_count=262144

看是否设置成功

sysctl -p

如果有出现vm.max_map_count = 262144说明设置成功

如果没有的话,需要自己前往文件进行设置

vim /etc/sysctl.conf

添加上vm.max_map_count = 262144

2、配置docker-compose.yml文件

 vim docker-compose.yml

将以下代码粘贴(版本具体得看你下载的docker的兼容,如果后面拉镜像失败,这里的版本进行修改即可)

version: "3.5"
services:
  elk:
    image: sebp/elk:7.12.0
    volumes:
       - ./elk/02-beats-input.conf:/etc/logstash/conf.d/02-beats-input.conf
    environment:
      ES_JAVA_OPTS: -Xms512m -Xmx512m
    ports:
      #Kibana 网络界面
      - "5601:5601"
      # Elasticsearch JSON 接口
      - "9200:9200"
      # Logstash Beats 接口
      - "5044:5044"

​

3、配置beats-input文件

在docker-compose.yml文件目录下创建elk文件夹,创建Logstash配置文件 02-beats-input.conf

#进入elk目录
cd elk
#创建并编辑02-beats-input.conf文件
vi 02-beats-input.conf
input {
    tcp {
        port => 5044
        codec => json_lines
    }
}
output{
    elasticsearch {
      hosts => ["localhost:9200"]
      index => "beat-%{+YYYY.MM.dd}"
    }
}

4、拉镜像、启动ELK

docker-compose up -d elk

如果一直显示以下报错,说明你的docker-compose.yaml格式有错误,粘贴时换行等格式不要出错

parsing /var/lib/docker/docker-compose.yml: yaml: line 5: mapping values are not allowed in this context

如果以下的报错,网络不行,换个镜像

error pulling image configuration: download failed after attempts=6: dial tcp 157.240.12.35:443: i/o timeout

vi /etc/docker/daemon.json

阿里云内容如下:

{
 "registry-mirrors":["https://6kx4zyno.mirror.aliyuncs.com"]
}


中科院内容如下:

{
        "registry-mirrors":["https://docker.mirrors.ustc.edu.cn"]
}


重启docker

systemctl restart docker

5、启动成功后访问

访问:ip:5601,即可进入ELK日志分析系统

到这里ELK就搭建完成了,有出现什么问题可以评论区进行解答,后续如果有需要会更新ELK的使用

shhhhw
关注
  • 9
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
蓝队分析工具箱v1.0-shiro解密工具
03-03
蓝队分析工具箱v1.0——Shiro解密工具 (应急响应工具集)
蓝队和红队 - 就业市场.pdf
10-06
8. 事件响应:能处理安全事件,包括识别、分析、遏制、根除和恢复。 9. 风险与漏洞管理:评估、优先级排序并解决潜在的风险和漏洞。 10. 安全政策与补丁管理:制定安全政策,及时处理安全更新和补丁。 11. 文档编写...
蓝队-ELK日志分析系统&Yara规则写入
weixin_58782362的博客
01-13 382
1.解压的绝对路径最好不带中文及空格,win+R打开cmd,进入Elasticsearch的bin目录执行elasticsearch.bat文件。3.进入C:\kibana-7.7.0-windows-x86_64\config目录修改kibana.yml配置文件。$a and $b and $c:abc同时匹配即告警。2、要根据样本的应用(分类、走的协议,文件头固定等)规则内容支持字符串、正则表达式、十六进制进行匹配。三种模式:上传文件,特定分析,代理加入。or $c:匹配a和b或c即告警。
通过 Docker 部署 ELK 日志收集系统
运维-晓柏的博客
04-20 9028
通过容器部署的方式快速搭建ELK日志管理收集系统
Docker容器搭建ELK日志分析系统
weixin_73059729的博客
06-04 688
如果报错了可以直接问就好,包解决,Docker容器搭建ELK日志分析系统
应急响应-168天--ELK日志分析系统&Yara规则
wuqingsix的博客
02-17 296
内存马检测 需要使用procdump.exe将内存脱下来,yara64.exe demo1.yar PID。然后使用专门的工具 如 010editor 十六进制 搜索木马关键字 如木马含有的包地址。例如cs换个监听器,然后生成两个后门文件,对比,找到共有的特征。如:挖矿病毒提取:文件头,关键字,协议,域名等。三种模式:上传文件,特定分析,代理加入。yarac 为编译yara规则工具。yara 为yara使用程序。根据提取的对象 提取共同点。
Docker搭建ELKF日志分析系统
weixin_73059729的博客
06-07 1598
kibana中,默认通过时间来排序。在Management中找到Indexpatterns,单击进去可以看到类似以下图片中的界面,填写www-bdqn-cn-pro-access-*从上面的输入配置文件中可以看出,这里来采用的第一种图形,在Filebeat读取数据后,向logstash发送数据前添加www-bdqn-cn-pro-access的tag。在filter段内的第一行是判断语句,如果www-bdqn-cn-pro-access自定义字符在tags内,则使用grok段内的语句对日志进行处理。
蓝队应急响应-日志自动提取与分析-七牛logkit、观星、Gscan、Logon Tracer、360星图、Goaccess、ALB、Anolog
shhhhw的博客
06-13 1871
蓝队应急响应-日志自动提取与分析-七牛logkit、观星、Gscan、Logon Tracer、360星图、Goaccess、ALB、Anolog
044-蓝队应急响应之“雄鸡夜鸣”.pdf
09-20
044-蓝队应急响应之“雄鸡夜鸣”.pdf
2022年实网攻防演练蓝队防守指南-安芯网盾.pdf
07-09
【描述分析】:描述简单明了,重申了标题中的关键信息,即该文档是2022年的蓝队防守指南,意味着其内容将聚焦于如何有效防御网络攻击。 【标签】:由于没有给出具体的标签,我们无法直接获取分类信息,但根据标题和...
蓝队分析辅助工具箱BlueTeamTools
10-19
近几年网络攻击事件越来越多,各种变形的漏洞利用payload出现,让蓝队分析难度也越来越高。此款工具重点解决蓝队分析工作中的一些痛点,比如让大家头疼的加密数据包解密问题,netstat -an无ip对应的国家与城市的物理...
docker download failed after attempts=6:dial tcp IP:Port i/o timeout
kezhen的专栏
06-21 1889
1、Docker拉取镜像失败,download failed after attempts 6 IO Timeout,c)拷贝vulfocus.tar至目标服务器/home/test/vulfocus.tar。2、Docker Hub 镜像加速器,
docker】error pulling image configuration: download failed after attempts=6: dial tcp 50.117.117.42:
一个写了10年bug的程序员日常笔记。
06-08 6809
如果你使用的是Docker官方镜像仓库,可以尝试更换为国内的镜像源,如阿里云、腾讯云等提供的Docker镜像加速服务。:如果你在一个需要通过代理服务器访问外部网络的环境中,确保Docker守护进程配置了正确的代理设置。:确保你的网络连接是稳定的,并且可以访问外部网络。:你的网络可能无法访问Docker镜像仓库,或者存在防火墙、代理设置等问题阻止了连接。:你的网络可能对出站连接有限制,例如公司网络可能有严格的防火墙规则。:有时候,网络问题可能是暂时的。:有时候,重启Docker服务可以解决临时的网络问题。
docker安装使用
Java领域
06-19 1110
通过执行这个命令,你可以确保系统中安装了"yum-utils"软件包,并且会自动处理相关的依赖关系,使得这些额外的功能可以在系统中正常使用。它的核心思想是将应用程序及其所有必需的运行时环境、库和依赖项打包成一个独立的容器,这样可以保证应用在不同的计算环境中能够一致地运行,而无需考虑底层操作系统的差异。镜像:docker镜像类似于一个模板,可以通过这个模板来创建容器服务,tomcat镜像---->run---->tomcat01容器(提供服务)仓库:仓库存放镜像,仓库分为贡藕仓库和私有仓库。
网络安全蓝队常用工具详解
2401_85026116的博客
06-20 1810
这个github存储库包含了和,可以用于。有些工具可能是专门为蓝色团队设计的,而其他工具则更通用,可以在蓝色团队上下文中进行调整使用。*本资料库中的资料仅供参考及教育用途。它们不打算用于任何非法活动。
Linux安装最新版Docker完整教程
最新发布
weixin_58286934的博客
08-19 762
linux安装dockerdocker仓库是用来保存镜像的地方。镜像构建完成后,可以直接在当前宿主机上运行,但是如果需要在其它服务器上使用这个镜像,就需要一个集中存储、分发镜像的服务,docker仓库就是这样的一个服务。
docker save和docker export的区别
Will_1130的博客
08-18 307
总结一下docker save和docker export的区别:
Docker】宿主机上装个ES和使用docker装个ES有啥不一样
qq_36634055的博客
08-19 541
直接在宿主机上安装Elasticsearch与在Docker容器中启动Elasticsearch的主要区别在于资源管理、隔离性、升级维护和配置数据持久化等方面。资源管理直接在宿主机上安装Elasticsearch会直接使用宿主机的资源。在Docker容器中启动Elasticsearch则通过容器进行资源管理,提供更好的隔离性。隔离性直接安装可能会与其他应用程序共享资源。Docker容器提供了更好的隔离性。升级维护直接安装通常需要手动操作。Docker容器可以更轻松地进行升级和维护。
"网络安全渗透测试与漏洞:红队和蓝队发展计划 - Part 1
O "Plano de Estudos Cyber Security - Parte 1 Red Team.pdf" é um recurso elaborado por Joas Antonio, voltado para auxiliar os estudos em segurança cibernética, ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值