secilog 1.19 发布 增加了ftp/sftp审计/报表钻取功能等

最新推荐文章于 2024-06-12 15:55:52 发布
最新推荐文章于 2024-06-12 15:55:52 发布
阅读量186 收藏
点赞数
文章标签: python 运维 操作系统
原文链接:https://my.oschina.net/secisland/blog/533406
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

日志分析软件 SeciLog 1.19发布,增加了ftp/sftp审计,增加报表钻取功能,对大多数报表都可以进行下一级的钻取,最终到日志搜索中,上篇文章1.18,有兴趣可以了解一下。本次升级主要增加以下功能:

ftp审计:

ftp审计的日志样本选用了目前linux系统中最流行的vsftpd软件,在进行审计前,首先要ftp软件生成日志。

Vsftpd的配置文件为:/etc/vsftpd/vsftpd.conf 

配置三个地方产生日志:

1、xferlog_enable=YES 

2、xferlog_file=/var/log/xferlog 

3、dual_log_enable=YES

配置完成后Vsftpd会产生两个日志文件,一个是/var/log/vsftpd.log记录登录认证日志,另一个是/var/log/xferlog,记录了上传下载日志,系统目前主要精确分析vsftpd.log日志。

分析后的结果如下,对ftp命令的大多数进行了解析,这样更方面的可以看到ftp的请求过程。

171511_xiva_247205.png

sftp审计:

Sftp分析了目前常用的sshd自带的sftp协议日志。

配置:#vi /etc/ssh/sshd_config

修改 Subsystem sftp /usr/libexec/openssh/sftp-server 

如下Subsystem sftp internal-sftp -l INFO -f local0

去掉下面一行的注释 #LogLevel INFO

修改syslog配置 vi /etc/syslog.conf

增加一行

local0.*                    @ip

同时修改message中的信息,不然会重复记录

*.info;mail.none;authpriv.none;cron.none         /var/log/messages改为下面的内容

*.info;mail.none;authpriv.none;cron.none;local0.none     /var/log/messages

/etc/init.d/syslog restart 

/etc/init.d/sshd restart 

配置完成重启后会生成sftp.log日志,当然如果配置远程机器,就直接把日志发给远程的采集器了。

分析后的结果如下,对sftp命令的大多数进行了解析,这样更方面的可以看到sftp的请求过程。

171803_aNYV_247205.png

web报表功能

增加了web报表钻取功能对前面的四个报表做了二级报表处理,然后对其他报表做了链接到日志搜索的页面。看下面的图,pv和独立ip,状态码和ip流量统计都也钻取到第二页的报表,然后根据第二页的报表还可以最终钻取到日志搜索页面,这样就知道报表中的数据是怎么来的。

172009_kexM_247205.jpg

ftp报表

这次增加了ftp报表功能。可以对ftp最近的行为进行统计,同样点击报表中的数据可以钻取到日志搜索页面,更方便的进行数据查询。对最下面的具体下载内容,进行了二次钻取,得到文件的下载趋势。

172253_gdMn_247205.png

ftp中具体文件的下载趋势。172549_Wucc_247205.png

上个版本提到的对于squid日志的日志分析,只需要把squid日志保存成apache的日志格式,系统就可以正常分析了。

本次升级的内容主要有这么多。下个版本主要会增加iis的w3c格式的日志分析,增加inotify日志分析,增加会话查询,包括ftp/sftp会话,windows和linux的操作会话查询。同时会增加自定义报表的功能。

转载于:https://my.oschina.net/secisland/blog/533406

weixin_33973600
关注
FTP安全审计
Nixawk
08-06 3483
FTP安全审计 FTP服务提供了对文件的远程访问功能,通常用于对Web服务器的维护及类似的目的。FTP服务主要使用如下两个端口:TCP21端口,入站服务器控制端口,用于接收和处理来自客户端的FTP命令,TCP20端口,出站数据端口,用于从服务器向客户端发送数据。要进行数据传输,需要两个端口共同作用:控制端口21,用于发布PORT等命令对数据传输进行
SFTP审计日志开启
BABAJack的博客
12-30 620
SFTP审计日志开启
ftp日志审计代理的实现
01-07
在windows平台下的FTP日志的读取并发送,用于审计windows 终端的管理。
网络安全审计系统中FTP解析策略研究.pdf
09-20
网络安全审计系统中FTP解析策略研究.pdf
《Nmap渗透测试指南》—第9章9.2节审计FTP服务器
weixin_34204722的博客
05-02 363
本节书摘来自异步社区《Nmap渗透测试指南》一书中的第9章9.2节审计FTP服务器,作者 商广明,更多章节内容可以访问云栖社区“异步社区”公众号查看。 9.2 审计FTP服务器表9.3所示为本章节所需Nmap命令表,表中加粗命令为本小节所需命令——审计FTP服务器。 操作步骤使用命令“nmap --script ftp-brute -p 21...
free FTP/SFTP
最新发布
07-29
windows 下创建FTP/SFTP服务器。亲测可用。安装时,会提示第三方FTP/SFTP服务器,点close即可,不需要安装。启动后,配置好用户名密码和服务器地址端口后,注意点击FTP或者SFTP窗口右下方的start按钮,否则不算启动...
基于Ftp/Sftp协议的文件服务器数据传输
08-05
NULL 博文链接:https://lpyyn.iteye.com/blog/2065149
EverEdit文本编辑工具的FTP/SFTP扩展插件
12-18
SFTP插件通常具备与FTP插件相似的功能,但增加了以下安全特性: 1. **数据加密**:所有传输的数据都会被加密,防止数据在传输过程中被窃取。 2. **身份验证**:通过公钥/私钥对进行身份验证,提高安全性。 3. **...
Windows平台c++对ftp/sftp文件和文件夹下载上传工程源代码
05-02
本项目提供的是一套完整的C++工程源代码,包含了FTPSFTP的客户端功能,便于开发者在Windows环境下进行文件操作。以下是对该项目中涉及的知识点的详细解释: 1. FTP(File Transfer Protocol):FTP是一种应用层...
Mac上最好用的FTP/SFTP工具 Transmit 5.8.2
01-26
标题中的“Mac上最好用的FTP/SFTP工具 Transmit 5.8.2”指的是Transmit这一软件,它是一款专为苹果Mac操作系统设计的强大的FTP(File Transfer Protocol)和SFTPSecure File Transfer Protocol)客户端。FTP是用于...
webterminal:ssh rdp vnc telnet sftp bastionjump Web腻子xshell终端跳转服务器审计实时监视器rzsz堡垒机云桌面linux devops sftp websocket文件管理rzsz otp自动化运维审计磁盘文件管理sftp上载
02-05
Webterminal堡垒服务器(瓦特堡垒机) 由django实现的Webterminal。 该项目专注于DevOps和持续交付。 目前,它支持近90%的远程管理协议,例如vnc,ssh,rdp,telnet,sftp ...它支持在用户使用此项目管理服务器时监视和记录用户操作的可能性!您也可以重播用户诸如视频之类的动作。 希望你喜欢它。 下一个版本:待定义,项目将迁移到django 3 该项目仍在开发中。 使用情况 安装指南 使用docker运行 docker pull webterminal/webterminal docker run -itd -p 80:80 -p 2100:210
linux ftp 审计日志打开,开启vsftpd记录日志
weixin_32666923的博客
05-01 536
开启vsftpd记录日志:配置:vi /etc/vsftpd/vsftpd.confxferlog_enable=YESxferlog_file=/var/log/xferlog:wq/var/log/xferlog内容说明:Sun Feb 23 22:08:26 2014 | 6 | 212.73.193.130 | 1023575 | /Lille_IconSP/win_230214_5211...
跨多个服务器审计文件FileAudit
weixin_33973609的博客
08-02 168
为了防止企业数据被内部人员盗取,可以针对敏感文件和文件夹设立审计机制,这样企业就可以看到都有什么人对文件进行了访问。FileAudit被作为一个第三方文件审计软件,确实可以跨多个服务器审计文件访问。 使用FileAudit软件审计文件访问 从自己的控制台或通过在Windows Explorer中单击右键,FileAudit就能立即为企业的IT安全团提供一下信息列表: 读/写访问 文...
vsftp开启登录,上传,下载,删除等操作审计日志
guijianchouxyz的博客
01-06 3524
今天业务告知说有人把前天下午和昨天一天的ftp上面的附件被人删除了,首先我是非常的惊讶,居然会发生这种事,但是好在这个ftp不是我们负责的,内心瞬间下来了,要是咱负责的ftp服务器出现了这种问题,那还了得,不过咱的服务器的话也是放心的,各种监控,日志审计全开着,不怕找不到“证据”,好吧,言归正传,业务需要我们配合到ftp服务器上面找到事“谁”删除的,当然了这个也是非常简单的,拉了个会议,负责ftp团队进行投屏,我们进行远程指导,开始找各种日志,但是吧,事实往往不能如人所愿,啥也没有,*********
堡垒机作用之事后审计详细讲解
行云管家
09-22 1085
众所周知,堡垒机的核心功能就是运维审计记录整个运维过程。一旦发生运维事故,将依靠审计记录来进行回溯,是明确责任人和重现事故现场的重要手段,以吸取事故教训,对日后建立严格规范的运维体系有着巨大的作用。但还有一些其余对于堡垒机事后审计功能不是很清楚,今天我们就详细讲解一下。 行云管家堡垒机事后审计四大内容讲解 一、全程云端录像 整个运维过程将会被以录像的方式进行记录,录像存储在云端(服务器端),可避免数据被篡改。可根据操作记录定位回放或完整重现运维人员对目标设备的整个操作过程,从而真正实现对操作内容的完全审计
运维审计和堡垒机/运维审计与风险控制系统-详细网络安全指南
程序员三九的博客
06-12 925
在医院数据库系统运行期间,需要对现有的数据库进行审计,确保对现有数据库系统的敏感操作都有记录。为了保证审计系统的正常高效运行,数据库审计系统的日常运维工作是必不可少的。
堡垒机麒麟堡垒机FTP/SFTP 审计文件、数据库备份测试文档
keeplifer的博客
03-19 1844
        麒麟堡垒机可以把日志、数据库定时自动备份到一台ftp/sftp服务器上,ftp/sftp备份服务器建议使用linux系统,因为录相文件中包含了时间、日期等字符串,windows中很多字符不允许。        另外,建议使用sftp服务,sftp服务为加密方式,使用更安全并且方便。        程序/home/wuxiaolong/5_backup/backup_replay.p...
细说堡垒机与数据库审计
weixin_33939843的博客
11-01 839
随着企业规模不断发展壮大,为提升企业运行效率,降低运营成本,企业信息化系统也在日益壮大,运维问题也日趋复杂,企业核心数据资源的安全无法进行有效管控,为企业健康发展埋下隐患。 基于此原因,企业信息化建设需在满足业务运行的前提下,加强内控与安全审计力度,切实保障信息系统安全运行,满足企业内控管理的合规要求。 小编就信息安全内控与数据安全领域的两款明星产品“...
Vsftp软件搭建的FTP服务器的日志文件的配置
小黑_BUPT的博客
09-23 4668
Vsftp软件搭建的FTP服务器的日志文件的配置 一、 一般配置 在/etc/vsftpd.conf中找到: # 表明FTP服务器记录上传下载的情况 xferlog_enable=YES # 表明将记录的上传下载情况写在xferlog_file所指定的文件中,即xferlog_file选项指定的文件中 xferlog_std_format=YES xferlog_file=路径 一般默认为...
Yummy FTP MAC版:高效FTP/SFTP客户端,具备目录同步与计划任务功能
Yummy FTP是一款专为Mac用户设计的高效且功能强大的FTP(SFTP)文件传输工具,其1.11.12版本在市场上颇受欢迎。该软件的优势在于它的用户界面简洁直观,使得即使是不熟悉复杂命令行操作的Mac用户也能轻松上手。它支持...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值