墨痕诉清风的博客

Prometheus（包含alertmanager）+ grafana + SNMP Exporter。支持 SNMP 且支持 Webhook 发送报警的开源监控系统。hertzbeat：关系型数据库+时序数据库；现需要时时观察监控这些网络的健康。LibreNMS：关系型数据库；办公室访问一些网络经常出现故障。Zabbix：关系型数据库；包含专线网等其他网络。

内存没有远远超过64g，那么不建议将es的jvm内存设置为32g，因为超过32g后每个jvm对象指针的长度会翻倍，导致内存与cpu的开销增大。官方建议分配给es的内存不要超出系统内存的50%，预留一半给Lucene，因为Lucene会缓存segment数据提升检索性能；这里为了观察效果使用前台方式启动，如果想要以后台进程的方式启动，则需要在后面加上。jvm.options主要是进行内存相关配置，elasticsearch默认给的1g。特别注意： 1：* 代表所有用户生效 2：es 代表 es 用户生效。

Kibana是一个开源的数据分析和可视化平台，通常与Elasticsearch一起使用，用于展示和分析大规模数据集。数据可视化Kibana允许用户将数据转化为交互式、实时的图形和可视化展示，包括折线图、柱状图、地图、仪表盘等。用户可以在Kibana中进行数据查询和搜索，通过使用Elasticsearch的强大搜索引擎来查找和分析数据。Kibana提供实时监控功能，用户可以追踪系统的性能、日志、指标和其他关键信息。用户可以创建个性化的仪表盘，以展示重要的指标和数据，以帮助监控和分析业务绩效。

要减少或避免批量注册导致的短信盗刷和无效用户问题，可以从以下方面着手：加强验证码验证（图片验证码、短信验证码、滑动验证码等）。限制每个IP、邮箱、手机号的注册频次。结合设备指纹和行为分析进行动态风控。使用流量分析和机器学习模型检测异常注册行为。提供多重身份验证机制，增强用户注册的真实性。通过这些措施，可以有效降低批量注册的风险，确保平台的健康发展。

oletools是一个python工具包，用于分析Microsoft OLE 2文件（也称为结构化存储，复合文件二进制格式或复合文档文件格式），如Microsoft Office 97-2003文档，MSI文件或Outlook消息，主要用于恶意软件分析，取证和调试。它基于olefile解析器。它还提供了工具来分析RTF文件和基于OpenXML格式（又名OOXML）的文件，如MS Office 2007+文档，XPS或MSIX文件。

为了更好的溯源，获取执行命令的准确时间，需要增加一些配置。Centos系统默认历史命令显示如下。再次执行命令，查看历史记录。在最下面添加以下环境配置。

2. 下载 Windows11 ISO 镜像文件。该方法使用Windows及Linux系统。选择U盘，选择你的U盘即可，一直下一步。官网windows制作启动盘。1. 打开Win11下载官网。下载 Windows 11。2. 下载制作操作系统工具。1. 下载工具 rufus。下载 Windows 11。

GoAccess是一个开源的实时网络日志分析器和交互式查看器，它可以在 *nix系统的终端上运行，也可以通过浏览器运行。它为系统管理员提供了快速而有价值的HTTP统计数据，这些统计数据需要动态的可视化服务器报告。中文网站GoAccess - 中文站 - 可视化 Web 日志分析工具。

【代码】JumpServer修改admin密码（重置管理员密码）

我不知道别人为什么安装很顺利，我这里出了一些报错，多加几个命令。修改数据目录权限给ldap用户，此用户在安装时已自动创建。执行命令，有5个modifying 表示修改全部修改成功。3. 在OpenLDAP DB上配置域信息。1. yum方式安装OpenLDAP服务。3. 拷贝数据库配置配置文件，并启动服务。1. 准备加密后的密码（加了盐）ladpadmin链接测试。4. 关闭匿名用户访问。

(The对带宽的唯一限制是Amazon EC2实例的大小，它适用于所有流量--VPC内部和外部到Internet的流量。然后 NAT 实例将向 Internet 发出请求（因为它位于公共子网中），并且响应将转发回私有实例。发送到 NAT 实例的流量通常会发送到与 NAT 实例本身无关的 IP 地址（它将发往 Internet 上的服务器）。因此，关闭NAT 实例上的。通过阅读AWS VPC文档，我发现它们都将私有IP地址映射到传出请求的互联网可路由地址，并将来自互联网的传入响应路由到子网上的请求者。

因为上一次启动了mfa验证，但是没有验证就关机重启，导致再开机输入密码后需要mfa绑定，但是怎么也无法绑定成功，导致无法登录。故希望通过后台取消mfa的验证。

上面的默认两个子网的CIDR是x.x.x.x/20 ，这里你下拉这个选择框，选择相应的/20 ，这里是255.255.240.0/20。子网计算器使用IP地址、掩码位执行网络计算，确定结果广播地址、子网等。在IPv4 CIDR ： 这里填入 “子网ID 3”的子网地址 ： 172.31.32.0/20。可以看出“子网ID 1”、“子网ID2”已经被上面默认的两个子网使用了。先在编辑该vpc的CIDR,增加CIDR：172.16.2.0/24。你增加新的子网，可以从 “子网ID 3” 开始使用。

AWS CloudTrail 是一项 AWS 服务，可帮助对您的 AWS 账户进行监管、合规性检查、操作审核和风险审核。用户、角色或 AWS 服务执行的操作将记录为 CloudTrail 中的事件。事件包括在 AWS 管理控制台、AWS Command Line Interface 和 AWS 开发工具包和 API 中执行的操作。在您创建 账户时，将对账户启用。当您的 AWS 账户中发生活动时，该活动将记录在 CloudTrail 事件中。

国际版的S3可以使用不带Region的URL，例如：http://{bucket}.国内版必须指定Region并且使用专用的国内域名：http://{bucket}.国际版的S3可使用sha1，国内版本的S3需要使用sha256。与国外S3即开即用不同，由于政策原因，国内S3在开通后，不能立即从外网访问其域名，必须通过国内的业务人员申请开通80和443端口。但AWS CLI访问不受影响。由于国内S3与国际版S3完全独立，所以国内S3的bucket名字可以与国际版S3重复。

Lambda 是一种无服务器(Serverless), 而且设计成事件驱动的计算服务器. 简单来说, 你可以将你的 code 上传, 当有事件产生(例如cronjob , 或者S3有新的文件被上传上來) , 你的code 就会在瞬间(零点几秒以內)被叫起來执行. 由于你不用管 Server如何维护, 或者自动扩展之类的事, 所以叫做 Serverless ,這些都被处理了,我們只需写code即可.

Elastic Load Balancing 支持三种类型的负载均衡器：Application Load Balancer、Network Load Balancer 和 Classic Load Balancer。这里用ALB( Application Load Balancer)说明。

创建后即可登录链接，默认端口2222。1. github地址下载安装脚本。创建用户，超级管理员、审计员、用户。打开防火墙，重启docker。自动下载docker镜像。2. 执行一键安装脚本。选择不希望支持IP6。

【代码】威胁行为记录。

（4）建立恶意信息库，或者购买第三方恶意信息库，包含但不限于恶意的IP、Domain、URL、Email、Hash 与自己的资产、不明样本进行匹配分析，实时最好。（硬件：计算机、网络设备、工控设备、物联网设备[自动售卖机、自助ATM、只能探头、监视器、摄像头、智能电视，智能办公用具等一切设备、税控设备]、移动互联终端）；（2）合理划分区域，在区域合理规划FW、WAF、IPS、IDS、SOC、UTM、STIM、Agent（流量分析探针，用于APT攻击检测）等设备的部署，和互动互联。