OpenSearch分析WAF日志

最新推荐文章于 2024-09-13 14:56:57 发布
最新推荐文章于 2024-09-13 14:56:57 发布
阅读量326 收藏
点赞数 8
分类专栏: 安全 文章标签: aws waf 安全 分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012172506/article/details/140480198
版权

Web应用防火墙(WAF)是保护web应用程序的重要工具,而分析WAF日志可以帮助我们更好地了解安全威胁并优化防护策略。本文将介绍15个使用OpenSearch分析WAF日志的实用例子,涵盖基础统计、安全分析、性能监控等多个方面。

准备工作

在开始之前,请确保:

  1. WAF日志已经被发送到OpenSearch
  2. 创建了合适的索引模式(如​​waf-logs-*​​)
  3. 熟悉OpenSearch的基本查询语法

15个实用例子

1. 总请求量和阻止率
GET waf-logs-*/_search
{
  "size": 0,
  "aggs": {
    "total_requests": {
      "value_count": {
        "field": "timestamp"
      }
    },
    "blocked_requests": {
      "filter": {
        "term": {
          "action": "BLOCK" 
        }
      }
    },
    "block_rate": {
      "bucket_script": {
        "buckets_path": {
          "blocked": "
了解本专栏 订阅专栏 解锁全文 超级会员免费看
ivwdcwso
关注
专栏目录
订阅专栏
AWS EKS上使用OpenSearch部署EFK日志分析收集系统
weixin_41335923的博客
12-03 2088
AWS EKS使用托管服务OpenSearch部署一套日志分析收集系统
重磅发布: 阿里云WAF日志实时分析上线 (含视频)
weixin_34032792的博客
12-10 313
背景 Web攻击形势 互联网界的安全一直都不断的面临着挑战,以DDoS/Web攻击为代表的网络威胁直接对网络安全产生严重的影响。 据近年来的调查报告显示,Web攻击的方式向两极化发展,慢速攻击、混合攻击尤其是CC攻击占比不断增大,这给检测防御造成更大的难度。在整个网络攻击中, 应用层攻击也在大幅度翻倍(参考Imperva 2017Q4的DDoS风险报告...
waf日志分析解决方案
focus on security
06-09 1465
首先是来自于外部搜集的规则以及我们内部整理的规则,这是一个初始来源。 我们会将规则动态加载到一个基于storm的实时计算流量的框架,相当于做一个只检测不拦截的测试。 通过把报警日志做离线分析后,统计出其中的漏报误报,对偏差较大的规则进行修改优化后,加入到规则中,这样就形成了一个闭环。在运营维护过程中,不断的去优化规则。 通过长时间的观察和经验,我们发现误报的日志在一些特征值上有着明显的区别,比如该IP距离上次请求的时间间隔会比较大。那么根据我们提取出来的规则,我们会整理一份训练...
waf可以检测哪个端口的流量_WAF对WebShell流量检测的性能分析
weixin_39924198的博客
11-30 2218
最近在一次授权渗透测试中遇到了一个棘手的场景,万能的队友已经找到了后台上传点,并传了小马然后开心地用antsword进行连接,但是由于明文传输很快被waf感知,并引起了管理员的注意,很快我们的马被清了,真是偷鸡不成蚀把米。痛定思痛,我们判断对方并不能尽快修复漏洞,于是临阵抱佛脚,希望于通过加密算法提高攻击的质量。首先要做三件事第一,迅速在本地复现对方环境,第二,配置多种加密组合成攻击载荷...
apache日志 waf_开发架构之开源WAF延申
weixin_32673065的博客
12-11 242
其实网上开源WAF是有很多的,搭建方式比较简单,但只限于搭建,而没有分析调整的后续使用方法,这一点其实是实际使用中大家最关心也是最迫切需要的,下面就分享一下我的开源WAF构建与使用。一、选用其实在选用方面是需要进行多方面对比的,有业务需求方面的,有安全本身的,出于我们业务和架构的考虑,在这里我们使用的是modsecurity V3作为主体WAF框架,OWASP TOP 10作为主要策略,同时还覆盖...
渗透测试之waf绕过基础
qi_SJQ_的博客
01-28 3820
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 思维导图 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 思维导图: 一、信息收集 此处只针对对于目标网站直接扫描的信息收集讲解,其他辅助信息收集手段如:查旁站/识别cms等手段也不会遇到waf拦截。 1.安全狗—防ddos cenos目前用的不熟练,于是我将服务器系统换成了winserver,搭建上web环境和安全狗,打开cc拦截开关,本地.
Apache服务器日志分析与性能优化
通过分析Apache服务器日志,可以获取用户访问行为、服务器性能表现以及潜在的安全威胁,为优化网站性能、提升用户体验和加固服务器安全提供数据支持。 ## 1.2 常见的Apache服务器日志格式及含义 ### 1.2.1 基本...
Web应用安全监控与日志分析
# 1. Web应用安全监控概述 ### 1.1 Web应用安全的重要性 ...其基本概念包括实时监控技术、安全日志收集和分析技术、异常行为检测与响应技术等。 ### 1.3 常见的Web应用安全威胁 常见的Web应用安全威胁包括但不限
SQLMAP 1.0 源码分析
Test网络安全
08-28 2536
环境 git下载好源码后,可以方便查看记录 git tag 查看版本 然后用 git checkout 1.0 切换到1.0的版本 编辑器使用的是vscode + python插件 初步 最直观的感受,相比最初的版本,sqlmap以及有了大致的雏形。目录也丰富了许多 也加入了sqlmapapi,文件的数量和内容相比之前有了明显的增加,到底增加了什么呢,带着这个疑问,继续看源码。 注入流程 还是从sqlmap最精华的注入流程看起。启动流程和最初版本差不多,先检测各种变量..
亚马逊云科技 WAF 部署小指南(二):使用经济实用的 Log Insights 进行日志分析
亚马逊云科技专栏
03-31 851
方案介绍亚马逊云科技 WAF 是一个网页应用的防火墙服务。它能帮助保护您的网页应用或网页 API 应对常见的网页攻击。在 WAF 部署小指南(一)中,我们讨论了 WAF 的原理,如何使用 WAF,以及如何将 WAF 日志存储在 Amazon S3 中,并通过 Athena 进行查询。其优势在于成本低,但相应地缺点为查询所需人力成本较高。那么如何简单快速地查看日志呢?这就...
awsopensearch 日志通(Centralized Logging with OpenSearch)2.0(一)
Brian_blog
07-31 1184
实现全面的日志管理和分析功能。
OpenSearch 学习
Jaccccck的博客
04-12 8613
OpenSearch 是一个可缩放、灵活且可扩展的开源软件套件,用于在 Apache 2.0 下获得许可的搜索、分析和可观察性应用程序。由驱动,OpenSearch 提供了一个与供应商无关的工具集,您可以使用它来构建安全、高性能、经济高效的应用程序。将 OpenSearch 用作端到端解决方案,或将其与您首选的开源工具或相连接。官网。
apache日志 waf_开源WAF(mod_security)的搭建和分析
weixin_31021649的博客
12-24 737
背景最近需要测试关于waf的工具,要知道waf是怎么回事,必须搭建waf环境,同时才能看懂关于绕过waf的一些技术。OWASP ModSecurity核心规则集(CRS)是一组用于ModSecurity或兼容的Web应用程序防火墙的通用攻击检测规则。CRS旨在保护Web应用程序免受各种攻击,包括OWASP十大攻击,并提供最少的虚假警报。因为经常使用kali,因此环境全是在kali上面搭建,也不会再...
[原创+总结]防火墙常见日志分析
热门推荐
zhz
10-28 1万+
       先申明本文不是什么技术文章,心情开朗就随便写写整理下(偶补考过了,高兴ing) 两年没用防火墙了(只做测试用),昨天装了个天网,感受下!以最常见的天网防火墙为例,一般日志分为三行,第一行反映了数据包的发送、接受时间、发送者IP地址、对方通讯端口、数据包类型、本机通讯端口等等情况;第二行为TCP数据包的标志位,共有六位标志位,分别是:URG、ACK、PSH、RST、SYN、FIN,在日
变更AWS EC2 实例配置或实例类型
九河云的创作之路
09-11 507
在本文中,九河云将带您了解如何更改由 Amazon Elastic Block Store (EBS) 支持的 Amazon Elastic Compute Cloud (EC2) 实例的类型。更改实例类型可以优化成本和性能,使其更符合您的应用程序需求。
AWS Lambda 与 Java
Flying_Fish_roe的博客
09-12 637
AWS Lambda是 Amazon Web Services(AWS)提供的一种无服务器计算服务,它允许开发者在无需管理服务器的情况下运行代码。AWS Lambda 的核心思想是“按需计算”,用户只需要为代码的实际运行时间付费,而不必关心底层的基础设施,如服务器的运维、扩展和可用性。AWS Lambda 的典型工作流程是基于事件触发的:当某个事件(如 HTTP 请求、文件上传、数据库更改等)发生时,Lambda 函数被自动触发,执行相应的业务逻辑。
如何在AWS账户上进行充值:一份详尽指南
最新发布
九河云的创作之路
09-13 617
打开浏览器,输入AWS管理控制台的网址:https://aws.amazon.com/console/,输入您的账户信息,点击“登录”按钮。在“计费和成本管理”页面,您可以看到账户的各种信息,包括当前余额和已使用的服务费用。在右上角找到您的账户名称,点击它,然后在下拉菜单中选择“计费和成本管理”。您可以在“计费和成本管理”页面查看新的账户余额,确认充值是否到账。充值金额:确保输入的充值金额正确,避免因输入错误导致充值失败或充值过多。支付方式:根据自己的情况选择合适的支付方式,确保支付账户有足够的余额。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ivwdcwso

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值