第167天:应急响应-日志自动提取分析项目_ELK_Logkit_LogonTracer_Anolog等

已于 2024-09-29 09:54:15 修改
阅读量622 收藏 6
点赞数 4
文章标签: elk
于 2024-09-29 09:53:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_71529930/article/details/142588005
版权

目录

案例一: 日志自动提取-七牛Logkit&观星应急工具

Logkit

观星

案例二:日志自动分析-Web-360 星图&Goaccess&ALB&Anolog

360 星图

GoAccess

ALB

Anolog

f8x

案例一: 日志自动提取-七牛Logkit&观星应急工具

Logkit

优点是可以提取多种日志

七牛下载地址:GitHub - qiniu/logkit: Very powerful server agent for collecting & sending logs & metrics with an easy-to-use web console.

设置配置文件

访问3000端口直接进行访问

前面默认即可,这里保存到本地,并设置保存路径

不断的把系统层面的信息写入到文件当中

文件保存为json格式

此外在左侧日志收集器当中还可以检测各种数据库,http服务等

测试本地mysql数据库

但是好像不是很好用测数据库以及别的协议

观星

只能支持windows系统,并且会自动备份,自动转换成json格式

会以时间格式进行命名,并且会直接打包成一个压缩包

所有日志进行打包

并且会转化成为json工具,方便分析类工具进行分析

案例二:日志自动分析-Web-360 星图&Goaccess&ALB&Anolog

上面的工具主要还是针对系统层面进行分析,下面的工具对于web层面分析会相对多一点,并且会分析安全问题

360 星图

下载地址:好用的网站日志分析工具:360星图及使用方法-自学控 - 自己建站也轻松

仅支持iis,apache,nginx,对应.net php语言

搭建一个靶场进行SQL注入测试

再搞一个xss

cc攻击一次

导入日志文件

启动360星图

结果会保存到result目录下

可以分析来源ip,访问次数,访问次数等等

但是不清楚为什么分析不出来sql注入,以及cc攻击

这个cc攻击的特征应该很明显

sql注入也很明显

网上别人的图,不太理解,先了解了用法

GoAccess

下载地址:https://github.com/allinurl/goaccess

不支持安全类的检测,只能够支持访问类,异常类,流量类的检测

环境问题安装不上 gg

ALB

主要用来分析安全漏洞,缺点是界面不是图形化界面

GitHub - Lucifer1993/ALB: 攻击日志分析工具

使用语法

python ALB.py -f D:\phpStudy\Apache\logs\access_log.txt

查看源代码主要是通过屏蔽特殊关键字进行分析

Anolog

太难装了啊啊啊啊!!!!!

项目地址:GitHub - Testzero-wz/analog: 一款基于机器学习的Web日志统计分析与异常检测命令行工具

 安装依赖

配置文档,写入数据库密码,以及日志文件路径

f8x

有一款超级好用的自动化部署,各种语言环境,各种渗透工具,真心的推荐!!!

 一款红/蓝队环境自动化部署工具,支持多种场景,渗透,开发,代理环境,服务可选项等.

f8x/README.zh-cn.md at main · ffffffff0x/f8x · GitHub

安装个go语言

bash f8x -go

查看是否安装

xiaojiesec
关注
Kubernetes部署ELK问题sysctl: setting key “vm.max_map_count“, ignoring: Read-only file system
Soft_Engneer的专栏
04-21 6477
Kubernetes部署elasticsearch
ansible-Elk-Stack-Project:Elk_Stack项目
05-04
Elastic Stack(以前称为ELK Stack)是Elastic产生的一组开源软件,该软件可让您搜索,分析和可视化从任何来源以任何格式生成的日志,这种做法称为集中式日志记录。 集中式日志记录在尝试确定服务器或应用程序出现...
应急响应日志自动提取分析项目&ELK&Logkit&LogonTracer&Anolog
今天是几号的博客
05-03 3019
1、七牛Logkit:(Windows&Linux&Mac等)支持的数据源(各类日志,各个系统,各个应用等)File: 读取文件中的日志数据,包括csv格式的文件,kafka-rest日志文件,nginx日志文件等,并支持以grok的方式解析日志。2、观星应急工具:(Windows系统日志)SglabIr_Collector是qax旗下的一款应急响应日志收集工具,能够快速收集服务器日志,并自动打包,将收集的文件上传观心平台即可自动分析
6、应急响应-日志自动提取&自动分析&ELK&Logkit&LogonTracer&Anolog
m0_65842464的博客
01-28 1426
自动提取日志文件的工具使用,自动分析日志的工具和脚本使用,由于日志文件数量过多,内容也多,人工分析过于繁琐,此时日志提取工具和日志自动分析工具的使用就会省时省力,同时也能为人工分析提供参考价值,提高效率。
应急响应--小结
金灰的博客
07-03 984
勒索病毒是一种新型电脑病毒,主要以RDP爆破、邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。2019年末,勒索已然呈现出“双重勒索”的趋势,即先窃取商业数据,然后实施勒索,如果未能在规定时间内支付赎金,将于网上(通常暗网)公开售卖企业的商业数据。
应急响应-ELK日志分析系统
金灰的博客
07-10 1016
Elasticsearch:用于存储收集到的日志信息;Logstash:用于收集日志转发给 Elasticsearch;Kibana:通过 Web 端的可视化界面来查看日志。等等...还有很多插件三种模式:上传文件,特定分析,代理加入。1、导入 Web 日志2、导入系统日志3、自动监控日志filebeat --类似代理,客户端。
蓝队应急响应-docker搭建ELK日志分析系统
shhhhw的博客
06-13 769
蓝队应急响应-docker搭建ELK日志分析系统
应急响应-168--ELK日志分析系统&Yara规则
wuqingsix的博客
02-17 321
内存马检测 需要使用procdump.exe将内存脱下来,yara64.exe demo1.yar PID。然后使用专门的工具 如 010editor 十六进制 搜索木马关键字 如木马含有的包地址。例如cs换个监听器,然后生成两个后门文件,对比,找到共有的特征。如:挖矿病毒提取:文件头,关键字,协议,域名等。三种模式:上传文件,特定分析,代理加入。yarac 为编译yara规则工具。yara 为yara使用程序。根据提取的对象 提取共同点。
分布式技术--------------ELK大规模日志实时收集分析系统
zzzxxx520369的博客
04-10 1725
ELK平台是一套完整的日志集中处理解决方案,将ElasticSearch、Logstash和Kiabana 三个开源工具配合使用,完成更强大的用户对日志的查询、排序、统计需求是基于Lucene(一个全文检索引擎的架构)开发的分布式存储检索引擎,用来存储各类日志。Elasticsearch 是用Java开发的(需要安装jdk),可通过RESTful Web接口,让用户可以通过浏览器与Elasticsearch通信。
8、应急响应-战前溯源反制&主机蜜罐系统&HFish&HIDS&Elkeid&Wazuh
m0_65842464的博客
01-31 1758
攻击者对服务器存在着各种威胁行为,作为安全人员,可以在受到攻击前提前部署好蜜罐-Hfish系统或HIDS-Wazuh系统,又或是HlDS-Elkeid系统,诱捕攻击者并进行溯源分析。通过在蜜罐系统中部署诱饵,安全人员可以了解攻击者的行为和攻击手段,为溯源反制提供依据。
springboot-elk_springboot_elk_
09-29
SpringBoot和ELK是两个在IT领域非常重要的技术组件,它们分别是微服务开发框架和日志分析工具栈。本文将详细解析如何将SpringBoot与ELK(Elasticsearch、Logstash、Kibana)集成,以实现高效、可扩展的日志管理和...
Linux运维-04-日志分析-日志监控ELK-day02-ELK日志系统
11-02
Linux运维-04-日志分析-日志监控ELK-day02-ELK日志系统生产案例-03-kibana索引模式创建与.mp4
ELK-05-skywalking监控SpringCloud服务日志
smdai的博客
09-25 958
基于上一章节,现在使用skywalkin监控SpringCloud服务日志。官方文档:https://skywalking.apache.org/docs/skywalking-java/latest/en/setup/service-agent/java-agent/application-toolkit-logback-1.x/
SpringBoot整合ELK实现日志监控(保姆级教程)
不惑
09-24 815
新建或修改application.yml 这个操作随意,可以不改端口号 创建日志配置文件 在项目的 resources 目录下创建 logback-spring.xml 文件,也就是日志输出配置文件SpringBoot默认的使用的日志,必须叫这个名字!!! 创建一个测试类 启动项目 SpringBoot项目启动后,可以看到默认已经创建出索引文件 ​注意!!!一定要注意端口号的开放,配置好云服务器的安全组端口开放!!!​
ELK-02-skywalking-v10.0.1安装
smdai的博客
09-24 417
skywalking-v10.0.1安装。运用es持久化数据,所以需先完成ELK-01步骤。截止目前最新版skywalking-v10.0.1,只支持最高jdk21。
ELK-04-skywalking监控SpringCloud服务
smdai的博客
09-25 609
skywalking监控SpringCloud服务。基于我之前发布的【自学[vue+SpringCloud]-011-新建SpringCloud工程demo】文章,监控我的SpringCloud-Demo工程。skywalking监控SpringCloud服务。
ELK-03-skywalking监控linux系统
smdai的博客
09-24 1135
skywalking安装完成后,开始我们的第一个监控-监控linux系统。参考官方文档:深度学习请看官方文档。
快手截流协议v1.11(持续更新版本)
最新发布
09-29
私域引流获客,引流变现,快手截流协议工具。(非市面烂大街不更新的版本)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值