6、应急响应-日志自动提取&自动分析&ELK&Logkit&LogonTracer&Anolog等

用途：个人学习笔记，欢迎指正

背景:

一、日志自动提取-七牛Logki&观星应急工具

1、七牛Logkit: (支持Windows&Linux&Mac等)

2、观星应急工具(只支持Windows)

二、日志自动分析-Web-360星图&Goaccess&ALB&Anolog

1、Web-360星图(支持IIS/Apache/Nginx)

2、Web-GoAccess（任何自定义日志格式字符串）

3、Web-自写脚本ALB（支持任何自定义日志格式字符串）

4、Web-机器语言analog（支持任何自定义日志格式字符串）

[三、Windows系统-日志自动分析-LogonTracer 推荐](#三、Windows系统-日志自动分析-LogonTracer 推荐)

四、日志综合平台-Elasisearch+Filebeat+Redis+Logstash+Kibana

背景:

由于日志文件数量过多，内容也多，人工分析过于繁琐，此时日志提取工具和日志自动分析工具的使用就会省时省力，同时也能为人工分析提供参考价值，提高效率。

一、日志自动提取-七牛Logki&观星应急工具

1、七牛Logkit: (支持Windows&Linux&Mac等)

https://github.com/qiniu/logkit/

2、观星应急工具(只支持Windows)

二、日志自动分析-Web-360星图&Goaccess&ALB&Anolog

1、Web-360星图(支持IIS/Apache/Nginx)

百度可搜索下载，config.ini配置文件：配置好日志文件所在路径

2、Web-GoAccess（任何自定义日志格式字符串）

工具： https://github.com/allinurl/goaccess

使用手册： https://goaccess.io/man

输出报告：

goaccess -f /home/wwwlogs/access.log --log-format=COMBINED > /root/aa.html

实时监控：

goaccess -f /home/wwwlogs/access.log --log-format=COMBINED --real-time-html /home/wwwroot/default/x.html

3、Web-GitHub用户脚本ALB（支持任何自定义日志格式字符串）

脚本和使用：https:/github.com/Lucifer1993/ALB

例：python ALB.py -f F:\access.log -t 200

4、Web-机器语言analog（支持任何自定义日志格式字符串）

脚本：https://github.com/Testzero-wz/analog

使用参考：https://analog.testzero-wz.com/

三、Windows系统ELK-日志自动分析-LogonTracer 推荐

https:/github.com/ffffffffOx/f8x（自动搭建项目）

https://github.com/JPCERTCC/LogonTracer
如何安装使用：

https://github.com/JPCERTCC/LogonTracer/wiki/

Docker安装：

https://www.freebuf.com/sectool/219786.html

docker pull jpcertcc/docker-logontracer

docker run

--detach

-publish=7474:7474-publish=7687:7687-publish=8080:8080\

-e LTHOSTNAME=你的ip\

jpcertcc/docker-logontracer

手工安装：

1.下载并解压neo4j:tar-zvxf neo4j-community-4.2.1-unix.tar

2.安装java11环境：sudo yum install java-11-openjdk-y

3.修改neo4j配置保证外部访问：

dbms.connector.bolt.listen_address=0.0.0.0:7687

dbms.connector.http.listen_address=0.0.0.0:7474

./bin/neo4j console

4.下载LogonTracer并安装库：

git clone https://github.com/JPCERTCC/LogonTracer.git

pip3 install -r requirements.txt

5.启动LogonTracer并导入日志文件分析

python3 logontracer.py -r -o [PORT] -u [USERNAME] -p [PASSWORD] -s [IP]

python3 logontracer.py -r -o 8080 -u neo4j -p xiaodi -s 47.98.99.126

python3 logontracer.py -e [EVTX文件] -z [时区] -u [用户名] -p [密码] -s [lP地址]

python3 logontracer.py -e Security.evtx -z -13 -u neo4i -p xiaodi -s 127.0.0.1

四、日志综合平台-Elasisearch+Filebeat+Redis+Logstash+Kibana

Elasticsearch: 用于存储收集到的日志信息；

Logstash: 用于收集日志转发给Elasticsearch;

Kibana: 通过Web端的可视化界面来查看日志。

企业工作人员一般喜欢搭建日志分析系统

快速搭建参考：5分钟快速安装ELK（一）

参考：Filebeat+Redis+Logstash+Elasticsearch+Kibana搭建日志采集分析系统_filebeat+redis+logstash+kibana-CSDN博客