ELK7.9分析Nginx-waf模块日志

最新推荐文章于 2024-05-18 15:28:20 发布
最新推荐文章于 2024-05-18 15:28:20 发布
阅读量824 收藏 5
点赞数
分类专栏: ELK 文章标签: nginx elk elasticsearch kibana
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42708432/article/details/119517957
版权

背景

       目前有一台腾讯云服务器,在公网上提供了web服务,使用的架构为LNMP,并且为了加固web服务的安全,安装了nginx的ngx_lua_waf模块,可以轻微阻挡一些SQL注入等其余web攻击,也开启了waf模块的日志记录功能。针对目前的一个情况,需要对waf模块的日志进行分析,定期检查web服务器是否存在潜在的危机,下面就跟着我的步骤一起来看一下,如何借助ELK日志分析平台对nginx的waf日志进行分析,并针对分析的结果做一些潜在危机处理的工作。

一、waf日志上传到ELK服务器

目前已经讲waf的日志传输到ELK服务器的/var/log/nginx/waf目录下,共有43天的日志数据
在这里插入图片描述

先来简单看一下waf模块的日志都是一些什么

[root@elk7 ~]# cat /var/log/nginx/waf/qiufeng5.cn_2020-07-28_sec.log
61.28.109.5 [2020-07-28 23:30:07] "GET qiufeng5.cn/?id=../etc/passwd" "-"  "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.88 Safari/537.36" "\.\./"
61.28.109.5 [2020-07-28 23:30:28] "GET qiufeng5.cn/?id=../etc/passwd" "-"  "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.88 Safari/537.36" "\.\./"

从这两条日志来看,waf模块日志是有一定格式的,所以我们可以根据日志格式编写正则表达式了

二、Logstash过滤waf日志

[root@elk7 ~]# vim /etc/logstash/conf.d/nginx-waf.conf 

input {
	file {
		path => [ "/var/log/nginx/waf/*.log" ]
        	add_field => { "tags" => "nginx-waf" }
        	start_position => "beginning"
		#sincedb_path => "/dev/null"
    	}
}

filter {
	if "nginx-waf" in [tags] {
		grok {
			match => [ "message", "%{IP:client_ip}\s+\[%{TIMESTAMP_ISO8601:timestamp}\]\s+\"(?:%{WORD:client_mode} %{NOTSPACE:request_url})\"\s+\"(%{USER:user}|)\"\s+\"%{GREEDYDATA:user_agent}\"\s+\"(?<touch_rule>.*)\"" ]
			match => [ "message", "%{IP:client_ip}\s+\[%{TIMESTAMP_ISO8601:timestamp}\]\s+\"(?:%{WORD:client_mode} %{NOTSPACE:request_url})\"\s+(\"|)\"((?<post_str>.*)|-)\"\s+\"%{GREEDYDATA:user_agent}\"\s+\"(?<touch_rule>.*)\"" ]
		}
		date {
                   timezone => "Asia/Shanghai"
			match => ["timestamp", "yyyy-MM-dd HH:mm:ss"]
			target => "@timestamp"
			remove_field => "timestamp"
		}
		geoip {
                        source => "client_ip"
                        target => "geoip"
                        database =>"/usr/share/logstash/vendor/bundle/jruby/2.5.0/gems/logstash-filter-geoip-6.0.3-java/vendor/GeoLite2-City.mmdb"
                        add_field => [ "[geoip][coordinates]", "%{[geoip][longitude]}" ]
                        add_field => [ "[geoip][coordinates]", "%{[geoip][latitude]}"  ]
                }
	}
}

output {
        if "nginx-waf" in [tags] {
		elasticsearch {
            		hosts => ["10.1.1.1:9200"]
            		index => "logstash-nginx-waf-%{+YYYY.MM.dd}"
        	}
	}
}

日志经过logstash过滤后,形成以下有价值的字段:

  • client_ip 访问者的公网IP
  • @timestamp 访问网站时的时间
  • client_mode 访问网站时使用的HTTP请求方式
  • request_url 请求的页面资源(URL)
  • user_agent 用什么浏览器终端访问网站
  • touch_rule 触发了waf模块的什么内容,才会被拦截的
  • geoip.city_name 访问者公网IP所在的城市 geoip.region_name 访问者公网IP所在的省份
  • geoip.country_name 访问者公网IP所在的国家

三、Kibana分析日志
在这里插入图片描述

傻笑zz
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
nginx waf设计
03-11
基于nginx和modsecurity的WAF防火墙实现的配置1.过滤文件和路径 阻止 /~ 这种带有波浪线的路径 #阻止文件类型(扩展名、后缀) .(bzr|cvs|git|svn) .(bak|backup|bzr|cfg|conf|cvs|doc|docx|DS_Store|ear|git|gitignore|hg|htaccess|htpasswd|ini|inc|jar|log|online|production|project|properties|pl|pm|py|pyc|pyo|sh|sql|svn|swp|war)$ #阻止常见windows文件格式 .(ade|adp|app|asa|ascx|ashx|asmx|asp|aspx|axd|bas|bat|cdx|cer|chm|class|cmd|com|config|cpl|crt|cs|csproj|csh|csr|dat|dbf|dll|dos|exe|fxp|hlp|hta|htr|htw|ida|idc|idq|ins|isp|its|jse|key|ksh|licx|lnk|mad|maf|mag|mam|maq|mar|mas|mat|mau|mav|maw|mda|mdb|mde|mdt|mdw|mdz|msc|msh|msh1|msh1xml|msh2|msh2xml|mshxml|msi|msp|mst|old|ops|pass|pcd|pdb|pif|pol|prf|prg|printer|pst|pwd|resources|resx|reg|rem|scf|scr|sct|shb|shs|shtm|shtml|soap|stm|sys|url|vb|vbe|vbs|vbproj|vsdisco|webinfo|xsd|xsx|ws|wsc|wsf|wsh)$ 2.过
如何做 Nginx 安全日志分析可视化,看完这一篇,秒懂!
LinkSLA的博客
11-01 295
这里选着用mlog2waffle的方式接收日志,然后选着service deamon的方式查询日志,这种是实时查询,WAF-FLE controller URL是配置waf-fle的控制器地址,mlog2waffle是通过put请求发送数据到这个接口地址,下面就是配置ModSecurity日志的配置路径,配置完成后,点击Next。mlog2waffle,是通过put方法发送日志到waf-fle的,但是默认Nginx是不允许put请求的,所以启动会报错,需要在nginx中,通过dav方法,允许put请求。
Nginx - 集成Waf 功能
最新发布
小工匠
05-18 1119
检查请求URI是否包含"cost("或"concat("函数,或者URI中包含的SQL命令(如union、and、select、or、delete、update、insert)前后有空格或’+'符号,如果匹配,返回状态码504。检查HTTP用户代理字符串是否包含常见的扫描工具、下载工具、测试工具和爬虫(如YisouSpider、ApacheBench、Jmeter、Nmap等),如果匹配,返回状态码508。检查请求URI是否包含空格、“/.“或”./”,如果匹配,返回状态码509。检查查询字符串是否包含。
使用 Nginx 三方扩展 ngx_waf 快速实现一个高性能的 Web 应用防火墙
easylife206的专栏
02-15 3591
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !ngx_waf:方便且高性能的 Nginx 防火墙模块缓存策略为 LRU,IP 检查和 CC 防御花费常数...
基于 NGINX 的 WAF 配置方法之ModSecurity
markvivv随笔
03-15 2919
我们都希望自己创建的应用程序是安全的,不会轻易被破坏。但是,忽然而至的黑客攻击新闻,突然收到的安全通报,都在提醒我们安全无小事,挑战随时随地发生。随着扫描器、rootkit 和其他恶意工具的盛行,只需有一点点技术知识的人就可以很容易地开始入侵网站。虽然被入侵可能是不可避免的,但我们仍然应该采取一切预防措施,保护我们的应用程序和数据,降低被入侵的风险,减少被通报的次数。ModSecurity 是一个确保应用程序安全的WAF开源工具,全世界有超过一百万个网站在使用。
ELK分析ngx_lua_waf软件防火墙日志
weixin_34248487的博客
07-28 956
ELK分析ngx_lua_waf软件防火墙日志ngx_lua_waf介绍及部署可以参考https://github.com/loveshell/ngx_lua_waf 这个一个基于lua-nginx-module的web应用防火墙,作者是张会源(ID : kindle),微博:@神奇的魔法师。用途:防止sql注入,本地包含,部分溢出,fuzzing测试,xss,×××F等we...
docker安装elk6.7.1-搜集nginx-json日志
07-09
docker安装elk6.7.1-搜集nginx-json日志
基于ELK的nginx-qps监控解决方案.docx
10-26
基于ELK的nginx-qps监控解决方案 在现代网络架构中,监控和日志分析是非常重要...基于ELK的nginx-qps监控解决方案提供了一个强大的监控和日志分析平台,帮助我们实时了解nginx的性能状态,并快速响应故障和性能瓶颈。
详解用ELK分析Nginx服务器日志的方法
09-30
主要介绍了用ELK分析Nginx服务器日志的方法,ELK是三个开源软件的缩写,分别表示Elasticsearch,Logstash,Kibana,需要的朋友可以参考下
Linux运维-04-日志分析-日志监控ELK-day02-ELK日志系统
11-02
Linux运维-04-日志分析-日志监控ELK-day02-ELK日志系统生产案例-03-kibana索引模式创建与.mp4
ngx_waf 防火墙
里查叔叔
03-04 720
ngx_waf是一款基于Nginx的Web应用程序防火墙,它有以下优点和缺点:
ngx_waf:用于nginx的Web应用程序防火墙模块,无需进行复杂的配置。 &使用简单的nginx防火墙模块
03-17
ngx_waf English | 用于nginx的Web应用程序防火墙模块,无需进行复杂的配置。 功能 IPV4和IPV6支持。 Anti Challenge Collapsar,它可以自动阻止恶意IP。 特定IP地址上的例外允许。 阻止指定的IP地址。 阻止指定的请求正文。 特定URL上的例外允许。 阻止指定的URL。 阻止指定的请求参数。 阻止指定的UserAgent。 阻止指定的Cookie。 特殊允许的推荐人。 阻止指定的引荐来源。 文件 推荐链接: : 备用链接: : 执照 谢谢 :此模块的大多数默认规则都来自此。 :感谢作者提供的教程。 :感谢作者提供的教程。
如何做 Nginx 安全日志分析可视化,看这一篇就够了
开源世界
05-08 1019
之前介绍过 ModSecurity 这款优秀的开源 WAF,它是一个入侵检测与阻止的引擎,原本是Apache的一个模块,现在可作为单独模块编译添加到 Nginx 服务中 虽然这款 WAF 很优秀,但是使用起来并没有那么容易,之前也整理了文章介绍它的原理和规则,然而还有一个问题,就是它的日志分析,之前介绍原理规则的时候,也介绍了它的日志规则,但是在使用过程中,纯文本的记录方式,对于入侵分析太不友好了 所以今天介绍一款管理 ModSecurity 日志的开源项目 WAF-FLE WAF-FLE是专门用来处理
OpenWAF+ elk 安装
州官已放火的博客
10-26 3315
 最近公司需要搭建保护,公司网站的软件,于是选择了,OpenWAF+elk结合的搭建方式具体过程如下: 过程中参考连接有: 1.openwaf : https://www.w3cschool.cn/openwaf/openwaf-8tr524ot.html) 2. ELK的帮助手册: Docker Hub官网:https://hub.docker.com/r/sebp/elk/ Doc...
部署nginx_lua_waf记录
hl1293348082的专栏
04-09 399
通过部署nginx_lua_waf,具有使用简单、高性能、轻量级的优势,能够有效的防范sql注入、文件包含、XSS、fuzzing等web攻击,屏蔽异常的网络请求,防止webshell上传,相比于安全狗等商业版WAF,能够根据实际需求调整过滤规则,编辑符合企业自身业务需求的过滤规则。 实验安装环境:Redhat 6.2和7.3 手动安装nginx_lua_waf 安装依赖包 yum install -y zlib zlib-devel readline-devel pcre pcre-deve
nginx ngx_waf模块 使用总结
lzw_me
12-13 2067
ngx_waf 核心规则 : naxsi_core.rules配置参考naxsi_core.rulesnaxsi/naxsi_core.rules at master · nbs-system/naxsi · GitHubhttps://github.com/nbs-system/naxsi/blob/master/naxsi_config/naxsi_core.rules 白名单规则(naxsi_whitelists.rules): SecRulesEnabled; DeniedUrl "/...
利用logstash解析日志
ryan4good的博客
07-07 1279
简介 最近在做一个小项目,需要将一些不同格式的日志集中、展示,于是想到了用ELK。 环境的搭建比较简单,可参看Centos7搭建ELK 本文介绍一下将日志导入到es的一些操作。包含Syslog和file两种格式 1.Syslog 自己写了个模拟发送syslog的脚本 #!coding = utf-8 import logging import logging.handlers import random import struct...
使用 ModSecurity 和 ELK 进行持续安全监控
allway2的博客
08-11 1827
在这篇博客中,我们将讨论如何在应用程序前面将 ModSecurity 设置为 Web 应用程序防火墙 (WAF),它将其日志发送到 ELK(Elasticsearch、Logstash、Kibana)堆栈以进行监控,并将 ElastAlert 用于警报。审计日志包含有关 ModSecurity 检测到恶意事件时生成的日志的详细信息,并包含有关系统客户端请求的有用信息,包括客户端标头和数据负载,默认情况下未启用,可以通过“modsecurity. conf”配置文件。它使用文本模式来匹配日志文件中的行。...
Nginx+lua后续添加waf支持
qq_27156945的博客
06-11 895
近期公司测试环境的应用经常被扫描出来有一些安全漏洞,然而测试环境的入口是一个暴露在公网的nginx,这样的话没有安全防护措施,还是比较危险的。 这次通过给nginx加上waf插件来实现web安全防护。 nginx 实现WAF功能、自定义WAF规则...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值