6、应急响应-日志自动提取&自动分析&ELK&Logkit&LogonTracer&Anolog等

++⁠⁠2024-02-01 15:18

用途:个人学习笔记,欢迎指正

目录

背景:

一、日志自动提取-七牛Logki&观星应急工具

1、七牛Logkit: (支持Windows&Linux&Mac等)

2、观星应急工具(只支持Windows)

二、日志自动分析-Web-360星图&Goaccess&ALB&Anolog

1、Web-360星图(支持IIS/Apache/Nginx)

2、Web-GoAccess(任何自定义日志格式字符串)

3、Web-自写脚本ALB(支持任何自定义日志格式字符串)

4、Web-机器语言analog(支持任何自定义日志格式字符串)

[三、Windows系统-日志自动分析-LogonTracer 推荐](#三、Windows系统-日志自动分析-LogonTracer 推荐)

四、日志综合平台-Elasisearch+Filebeat+Redis+Logstash+Kibana

背景:

由于日志文件数量过多,内容也多,人工分析过于繁琐,此时日志提取工具和日志自动分析工具的使用就会省时省力,同时也能为人工分析提供参考价值,提高效率。

一、日志自动提取-七牛Logki&观星应急工具

1、七牛Logkit: (支持Windows&Linux&Mac等)

https://github.com/qiniu/logkit/

2、观星应急工具(只支持Windows)

二、日志自动分析-Web-360星图&Goaccess&ALB&Anolog

1、Web-360星图(支持IIS/Apache/Nginx)

百度可搜索下载,config.ini配置文件: 配置好日志文件所在路径

2、Web-GoAccess(任何自定义日志格式字符串)

工具: https://github.com/allinurl/goaccess

使用手册: https://goaccess.io/man

输出报告:

goaccess -f /home/wwwlogs/access.log --log-format=COMBINED > /root/aa.html

实时监控:

goaccess -f /home/wwwlogs/access.log --log-format=COMBINED --real-time-html /home/wwwroot/default/x.html

3、Web-GitHub用户脚本ALB(支持任何自定义日志格式字符串)

脚本和使用:https:/github.com/Lucifer1993/ALB

例:python ALB.py -f F:\access.log -t 200

4、Web-机器语言analog(支持任何自定义日志格式字符串)

脚本:https://github.com/Testzero-wz/analog

使用参考:https://analog.testzero-wz.com/

三、Windows系统ELK-日志自动分析-LogonTracer 推荐

https:/github.com/ffffffffOx/f8x(自动搭建项目)

https://github.com/JPCERTCC/LogonTracer
如何安装使用:

https://github.com/JPCERTCC/LogonTracer/wiki/

Docker安装:

https://www.freebuf.com/sectool/219786.html

docker pull jpcertcc/docker-logontracer

docker run

--detach

-publish=7474:7474-publish=7687:7687-publish=8080:8080\

-e LTHOSTNAME=你的ip\

jpcertcc/docker-logontracer

手工安装:

1.下载并解压neo4j:tar-zvxf neo4j-community-4.2.1-unix.tar

2.安装java11环境:sudo yum install java-11-openjdk-y

3.修改neo4j配置保证外部访问:

dbms.connector.bolt.listen_address=0.0.0.0:7687

dbms.connector.http.listen_address=0.0.0.0:7474

./bin/neo4j console

4.下载LogonTracer并安装库:

git clone https://github.com/JPCERTCC/LogonTracer.git

pip3 install -r requirements.txt

5.启动LogonTracer并导入日志文件分析

python3 logontracer.py -r -o [PORT] -u [USERNAME] -p [PASSWORD] -s [IP]

python3 logontracer.py -r -o 8080 -u neo4j -p xiaodi -s 47.98.99.126

python3 logontracer.py -e [EVTX文件] -z [时区] -u [用户名] -p [密码] -s [lP地址]

python3 logontracer.py -e Security.evtx -z -13 -u neo4i -p xiaodi -s 127.0.0.1

四、日志综合平台-Elasisearch+Filebeat+Redis+Logstash+Kibana

Elasticsearch: 用于存储收集到的日志信息;

Logstash: 用于收集日志转发给Elasticsearch;

Kibana: 通过Web端的可视化界面来查看日志。

企业工作人员一般喜欢搭建日志分析系统

快速搭建参考:5分钟快速安装ELK(一)

参考:Filebeat+Redis+Logstash+Elasticsearch+Kibana搭建日志采集分析系统_filebeat+redis+logstash+kibana-CSDN博客

相关推荐
f0rev3r16 小时前
NewStarCTF2025-WEEK2
网络安全
缘友一世16 小时前
深入理解Shell与反弹Shell:从原理到实战
linux·网络安全·shell
Whoami!17 小时前
⸢ 捌-Ⅰ⸥⤳ 可信纵深防御应用实践:0Day漏洞 & 钓鱼攻击
网络安全·信息安全·纵深防御·案例实践
white-persist18 小时前
CSRF 漏洞全解析:从原理到实战
网络·python·安全·web安全·网络安全·系统安全·csrf
风清再凯20 小时前
01-ELK安装ES,ES-head
大数据·elk·elasticsearch
北京耐用通信21 小时前
电力自动化新突破:Modbus如何变身Profinet?智能仪表连接的终极解决方案
人工智能·物联网·网络安全·自动化·信息与通信
汤愈韬21 小时前
NTFS权限基础、权限累加规则、权限继承规则
windows·网络安全
lingggggaaaa1 天前
小迪安全v2023学习笔记(一百三十四讲)—— Windows权限提升篇&数据库篇&MySQL&MSSQL&Oracle&自动化项目
java·数据库·windows·笔记·学习·安全·网络安全
Bruce_Liuxiaowei1 天前
Win7虚拟机加入域错误排查指南:解决无法启动服务问题
运维·网络·windows·安全·网络安全
热门推荐
01GitHub 镜像站点02BongoCat - 跨平台键盘猫动画工具03UV安装并设置国内源04Linux下V2Ray安装配置指南05GitLab 零基础入门指南:从安装到项目管理全流程06两千字总结:Codex 国内如何安装和使用的教程,以及如何设置中文回答07KGG转MP3工具|非KGM文件|解密音频08荣耀手机2025年10月发布的新品Magic8比起Magic7,在硬件、性能、价格等上有什么区别,有什么优势092025软件测试面试八股文(含答案+文档)10NVIDIA显卡驱动、CUDA、cuDNN 和 TensorRT 版本匹配指南