在日常蓝队进行日志分析的时候,显示将服务器主机日志全都收集起来,然后将日志放到自动识别脚本当中,就能进行自动分析,最后将有异常的ip直接拉黑即可。
下面的工具讲的是日志分析,是在攻击者进行攻击之后才能发现
#日志自动提取脚本——七牛Logkit&观星应急工具
1、七牛Logkit:(Windows&Linux&Mac等)
资料:https://github.com/qiniu/logkit/
全都是cmd命令,使用起来较为不便,但是功能相比较而言全面
2、观星应急工具:(Windows系统日志)
并自动打包,将收集的文件上传观心平台即可自动分析。
因为是exe可执行文件,所以使用起来比较方便。但是只有window版本
#日志自动分析-操作系统-Gscan&LogonTracer
1、Linux 系统 - GScan
https://github.com/grayddq/GScan
2、Windows 系统 -LogonTracer
安装方法一:强烈推荐,因为这里面搭载了很懂工具,不需要太多复杂的环境,特别方便:https://github.com/ffffffff0x/f8x(自动搭建项目)
安装方法二:https://github.com/JPCERTCC/LogonTracer(建议手工安装不要docker安装)
如何安装使用:
https://github.com/JPCERTCC/LogonTracer/wiki/
工具很不错,但是用起来卡,而且自己搭建环境特别麻烦
#日志自动分析-Web-360星图&Goaccess&ALB&Anolog
1、Web - 360星图(IIS/Apache/Nginx)
360星图是比较老的工具,主要是只支持三种插件,但用起来特别舒服,特别是图形化的结果,看起来特别舒服
2、Web - GoAccess(任何自定义日志格式字符串)
https://github.com/allinurl/goaccess
使用手册:
https://goaccess.io/man
输出报告:
goaccess -f /home/wwwlogs/access.log --log-format=COMBINED > /root/aa.html
实时监控:
goaccess -f /home/wwwlogs/access.log --log-format=COMBINED --real-time-html > /home/wwwroot/default/x.html
主要是没有重点,只能监控到网站访问恶意来源,有可视化界面,但是不能进行具体是什么攻击
3、Web - 自写脚本(任何自定义日志格式字符串)
参考:https://github.com/Lucifer1993/ALB
python ALB.py -f F:\access.log -t 200
此工具还行,但是没有可视化,作者用的是正则表达式,然后将日志中的关键词进行提取输出。
4、Web -机器语言(任何自定义日志格式字符串)
https://github.com/Testzero-wz/analog
https://analog.testzero-wz.com/
2039
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
