日志分析软件 SeciLog 1.19发布,增加了ftp/sftp审计,增加报表钻取功能,对大多数报表都可以进行下一级的钻取,最终到日志搜索中,上篇文章1.18,有兴趣可以了解一下。本次升级主要增加以下功能:
ftp审计:
ftp审计的日志样本选用了目前linux系统中最流行的vsftpd软件,在进行审计前,首先要ftp软件生成日志。
Vsftpd的配置文件为:/etc/vsftpd/vsftpd.conf
配置三个地方产生日志:
1、xferlog_enable=YES
2、xferlog_file=/var/log/xferlog
3、dual_log_enable=YES
配置完成后Vsftpd会产生两个日志文件,一个是/var/log/vsftpd.log记录登录认证日志,另一个是/var/log/xferlog,记录了上传下载日志,系统目前主要精确分析vsftpd.log日志。
分析后的结果如下,对ftp命令的大多数进行了解析,这样更方面的可以看到ftp的请求过程。
sftp审计:
Sftp分析了目前常用的sshd自带的sftp协议日志。
配置:#vi /etc/ssh/sshd_config
修改 Subsystem sftp /usr/libexec/openssh/sftp-server
如下Subsystem sftp internal-sftp -l INFO -f local0
去掉下面一行的注释 #LogLevel INFO
修改syslog配置 vi /etc/syslog.conf
# 增加一行
local0.* @ip
同时修改message中的信息,不然会重复记录
*.info;mail.none;authpriv.none;cron.none /var/log/messages改为下面的内容
*.info;mail.none;authpriv.none;cron.none;local0.none /var/log/messages
/etc/init.d/syslog restart
/etc/init.d/sshd restart
配置完成重启后会生成sftp.log日志,当然如果配置远程机器,就直接把日志发给远程的采集器了。
分析后的结果如下,对sftp命令的大多数进行了解析,这样更方面的可以看到sftp的请求过程。
web报表功能
增加了web报表钻取功能对前面的四个报表做了二级报表处理,然后对其他报表做了链接到日志搜索的页面。看下面的图,pv和独立ip,状态码和ip流量统计都也钻取到第二页的报表,然后根据第二页的报表还可以最终钻取到日志搜索页面,这样就知道报表中的数据是怎么来的。
ftp报表
这次增加了ftp报表功能。可以对ftp最近的行为进行统计,同样点击报表中的数据可以钻取到日志搜索页面,更方便的进行数据查询。对最下面的具体下载内容,进行了二次钻取,得到文件的下载趋势。
ftp中具体文件的下载趋势。
上个版本提到的对于squid日志的日志分析,只需要把squid日志保存成apache的日志格式,系统就可以正常分析了。
本次升级的内容主要有这么多。下个版本主要会增加iis的w3c格式的日志分析,增加inotify日志分析,增加会话查询,包括ftp/sftp会话,windows和linux的操作会话查询。同时会增加自定义报表的功能。