【应急响应】日志自动提取分析项目&ELK&Logkit&LogonTracer&Anolog等

最新推荐文章于 2024-05-14 09:43:47 发布
最新推荐文章于 2024-05-14 09:43:47 发布
阅读量2.5k 收藏 7
点赞数 2
分类专栏: # 溯源反制与应急响应 文章标签: elk 应急响应
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53009585/article/details/130387467
版权

日志自动提取-七牛Logkit&观星应急工具

1、七牛Logkit:(Windows&Linux&Mac等)
https://github.com/qiniu/logkit/
支持的数据源(各类日志,各个系统,各个应用等)
File: 读取文件中的日志数据,包括csv格式的文件,kafka-rest日志文件,nginx日志文件等,并支持以grok的方式解析日志。

Elasticsearch: 读取ElasticSearch中的数据。
MongoDB: 读取MongoDB中的数据。
MySQL: 读取MySQL中的数据。
MicroSoft SQL Server: 读取Microsoft SQL Server中的数据。
Postgre SQL: 读取 PostgreSQL 中的数据。
Kafka: 读取Kafka中的数据。
Redis: 读取Redis中的数据。
Socket: 读取tcp\udp\unixsocket协议中的数据。
Http: 作为 http 服务端,接受 POST 请求发送过来的数据。
Script: 支持执行脚本,并获得执行结果中的数据。
Snmp: 主动抓取 Snmp 服务中的数据。

在这里插入图片描述

2、观星应急工具:(Windows系统日志)
SglabIr_Collector是qax旗下的一款应急响应日志收集工具,能够快速收集服务器日志,
并自动打包,将收集的文件上传观心平台即可自动分析。
在这里插入图片描述

日志自动分析-操作系统-Gscan&LogonTracer

1、Linux 系统 - GScan
https://github.com/grayddq/GScan

2、Windows 系统 -LogonTracer
https://github.com/ffffffff0x/f8x(自动搭建项目)
https://github.com/JPCERTCC/LogonTracer(建议手工安装不要docker安装)
如何安装使用:
https://github.com/JPCERTCC/LogonTracer/wiki/
不建议Docker安装:
https://www.freebuf.com/sectool/219786.html
docker pull jpcertcc/docker-logontracer
docker run
–detach
–publish=7474:7474 --publish=7687:7687 --publish=8080:8080
-e LTHOSTNAME=你的ip
jpcertcc/docker-logontracer
建议手工安装:
1.下载并解压neo4j:tar -zvxf neo4j-community-4.2.1-unix.tar
2.安装java11环境:sudo yum install java-11-openjdk -y
3.修改neo4j配置保证外部访问:
dbms.connector.bolt.listen_address=0.0.0.0:7687
dbms.connector.http.listen_address=0.0.0.0:7474
./bin/neo4j console &
4.下载LogonTracer并安装库:
git clone https://github.com/JPCERTCC/LogonTracer.git
pip3 install -r requirements.txt
5.启动LogonTracer并导入日志文件分析
python3 logontracer.py -r -o [PORT] -u [USERNAME] -p [PASSWORD] -s [IP地址]
python3 logontracer.py -r -o 8080 -u neo4j -p xiaodi -s 47.98.99.126
python3 logontracer.py -e [EVTX文件] -z [时区] -u [用户名] -p [密码] -s [IP地址]
python3 logontracer.py -e Security.evtx -z -13 -u neo4j -p xiaodi -s 127.0.0.1
6.刷新访问LogonTracer-web_gui查看分析结果
踩坑:1、上传按钮不能上传 2.上传失败记得上传选模式对应值

日志自动分析-Web-360星图&Goaccess&ALB&Anolog

1、Web - 360星图(IIS/Apache/Nginx)
这里以我之前搭的Apache服务器日志为例
在这里插入图片描述
安全分析报告
在这里插入图片描述
不知道这是哪位hxd扫的
在这里插入图片描述
常规分析报告
在这里插入图片描述
可疑访问
在这里插入图片描述
漏洞攻击
在这里插入图片描述
2、Web - GoAccess(任何自定义日志格式字符串)
https://github.com/allinurl/goaccess
使用手册:
https://goaccess.io/man
输出报告:

goaccess -f /home/wwwlogs/access.log --log-format=COMBINED > ./aa.html

实时监控:

goaccess -f /home/wwwlogs/access.log --log-format=COMBINED --real-time-html > /home/wwwroot/default/x.html

3、Web - 自写脚本(任何自定义日志格式字符串)
参考:https://github.com/Lucifer1993/ALB

python ALB.py -f F:\access.log -t 200

在这里插入图片描述

参考:机器语言
4、Web -机器语言(任何自定义日志格式字符串)
https://github.com/Testzero-wz/analog
https://analog.testzero-wz.com/

日志综合平台-Elasisearch+Filebeat+Redis+Logstash+Kibana

今天是 几号
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于ELK自动化收集Docker容器日志分析系统
01-27
使用主流的开源日志收集系统ELK,并结合分布式消息队列redis部署实时消息自动化系统,能够快速、实时地收集应用日志,提高运维人员的工作效率。详细介绍了Docker、ELK、Docker Swarm和Etcd的功能及原理,最后通过...
【jmeter】logkit-2.0.jar下载
10-17
jmeter依赖包logkit-2.0.jar下载,我的另一篇博文可用: 【jmeter】实现验证码登录
LogTools:强大的日志分析工具
gitblog_00002的博客
03-12 750
LogTools:强大的日志分析工具 LogTools 是一个开源的日志分析工具,它可以帮助您轻松地解析、过滤和统计日志文件中的数据。 什么是 LogTools? LogTools 是一款轻量级的命令行工具,用于处理各种类型的日志文件。它可以读取文本或二进制日志文件,并提供多种功能,如过滤、排序、计数、分组等。 LogTools 支持多种日志格式,包括 Apache HTTP Server、Ngi...
蓝队-应急响应-日志分析
weixin_58782362的博客
01-06 1471
安装方法一:强烈推荐,因为这里面搭载了很懂工具,不需要太多复杂的环境,特别方便:https://github.com/ffffffff0x/f8x(自动搭建项目)在日常蓝队进行日志分析的时候,显示将服务器主机日志全都收集起来,然后将日志放到自动识别脚本当中,就能进行自动分析,最后将有异常的ip直接拉黑即可。360星图是比较老的工具,主要是只支持三种插件,但用起来特别舒服,特别是图形化的结果,看起来特别舒服。此工具还行,但是没有可视化,作者用的是正则表达式,然后将日志中的关键词进行提取输出。
最全10个好用的Web日志安全分析工具_前端日志工具有哪些,毕业工作5年被裁
2401_84562143的博客
05-11 1068
一款功能强大的开源日志分析系统,可以图形方式生成高级Web,流媒体,ftp或邮件服务器统计信息。
探秘强大的日志收集神器:Logkit-Community
最新发布
gitblog_00068的博客
05-14 340
探秘强大的日志收集神器:Logkit-Community 项目地址:https://gitcode.com/qiniu/logkit Logkit-Community 是一款由七牛云开发的极其强大的服务器端日志和指标数据采集工具,它配有一个直观易用的Web控制台,简化了从各种来源收集和发送数据的过程。无论是文件、数据库还是消息队列,Logkit 都能轻松应对。 项目介绍 Logkit 社区版提供...
9款日志管理工具大比拼,选型必备!
Java笔记虾
01-05 1947
点击关注公众号,利用碎片时间学习简介对于日志管理当前网络上提供了大量的日志工具,今天就给大家分析总结一下这些常用工具的特点,希望对你们在选型时有所帮助,如果有用记得一键三连。1、FilebeatFilebeat是用于转发和集中日志数据的轻量级传送程序。作为服务器上的代理安装,Filebeat监视您指定的日志文件或位置,收集日志事件,并将它们转发到Elasticsearch或Logstash进行索引...
应急响应日志分析工具
剁椒鱼头没剁椒的博客
11-02 754
在网上当然还是有很多的日志分析,但是多数都是针对流量的日志分析,很少是针对安全的分析,同时现阶段的安全日志分析工具要不是去购买厂商的技术,要不就是单项的分析,例如360星图,很少有开源的综合性分析的。
java代码实现自动提取ELK kibana日志平台)业务日志
junior77的专栏
12-24 3702
近期因进行项目全链路压测,需要对服务部分接口进行业务日志提取,用来做参数化测试数据。据了解,服务日志存储于elk日志平台中。于是为了避免每次手工提取费时费事,且每次不能批量提取大量日志,决定使用脚本实现自动提取,并保存至特定目录文件中。 前提: elk日志平台地址 查询索引名 查询条件 以下为具体java代码,供参考: ImSearchExtractData类 package com.Fulllink.imsearch; import com.Fulllink.utils...
2024年【软件测试】探索和学习SDLC与软件测试的关系,顺利通过阿里软件测试岗面试
2401_84563734的博客
05-08 308
Testing is part of every stage in modern SDLC models. (整合:在现代SDLC模型的每个阶段,测试都是一个组成部分。
nginx日志分析,实时可视化工具goaccess
第九系艾文
07-13 3150
一款可以实时分析NGINX访问日志,并且支持可视化的软件
Linux日志分析工具-GooLogAnalysis_v0.12
12-07
使用Java技术完成,分析Linux登录日志,并将提取到的数据保存入数据库; 后续再通过SQL语句,导出报表;或使用视图,得到需要的分析结果; 看点:基本涉及CoreJava大部分的知识点; 难点:对象匹配方法equals()和hashcode()的重写; 文件指纹(sha256): 8b00953873a6f6c2bbdaf03140b4b3f99566ddf4d7fd15fb82d2e0a99b22517e
采用ELK搭建日志分析系统.docx
10-13
Logstash是数据收集和处理的工具,它可以从各种源接收数据,如文件、网络、系统日志等,并对数据进行预处理,然后发送到Elasticsearch、Kafka或其他目的地。Logstash的配置包括输入(input)、过滤(filter)和输出...
使用ELK搭建日志集中分析平台实践
01-27
Elasticsearch+Logstash+Kibana(ELK)是一套开源的日志管理方案,分析网站的访问情况时我们一般会借助Google/百度/CNZZ等方式嵌入JS做数据统计,但是当网站访问异常或者被攻击时我们需要在后台分析如Nginx的具体...
快速搭建ELK日志分析系统
01-27
ELK是Elasticsearch、Logstash、Kibana的简称,这三者是核心套件,但并非全部。Elasticsearch是实时全文搜索和分析引擎,提供搜集、分析、存储数据三大功能;是一套开放REST和JAVA API等结构提供高效搜索功能,可...
日志&运维】ELK日志采集系统介绍
08-31
日志&运维】ELK日志采集系统介绍
6、应急响应-日志自动提取&自动分析&ELK&Logkit&LogonTracer&Anolog
m0_65842464的博客
01-28 1273
自动提取日志文件的工具使用,自动分析日志工具和脚本使用,由于日志文件数量过多,内容也多,人工分析过于繁琐,此时日志提取工具日志自动分析工具的使用就会省时省力,同时也能为人工分析提供参考价值,提高效率。
Nginx的access.log日志分析工具-goaccess
weixin_42874924的博客
12-09 2874
Nginx的access.log日志分析工具-goaccess
ELK日志分析系统的工作原理
02-28
ELK日志分析系统是由三个主要组件组成的:Elasticsearch、Logstash 和 Kibana。 1. Elasticsearch 是一个开源搜索引擎,它能够存储和查询大量的日志数据。 2. Logstash 是一个数据收集和处理工具,它能够从多个来源收集日志数据,并将其转换为 Elasticsearch 可以处理的格式。 3. Kibana 是一个可视化工具,它能够帮助用户使用图表和图形来分析和理解存储在 Elasticsearch 中的日志数据。 ELK 日志分析系统的工作流程如下: 1. 日志产生:应用程序或服务生成日志数据。 2. 日志收集:Logstash 从各种来源收集日志数据,包括文件、数据库、网络端口等。 3. 日志转换:Logstash 对日志数据进行过滤和转换,将其转换为 Elasticsearch 可以处理的格式。 4. 日志存储:Elasticsearch 将转换后的日志数据存储到其内部数据库中。 5. 日志查询:用户使用 Kibana 对存储在 Elasticsearch 中的日志数据进行查询和可视化分析。 6. 日志报告:Kibana 可以将分析结果以图表或图形的形式展示给用户,方便用户

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值