第167天:应急响应-日志自动提取分析项目_ELK_Logkit_LogonTracer_Anolog等
目录
案例一: 日志自动提取-七牛Logkit&观星应急工具
Logkit
观星
案例二:日志自动分析-Web-360 星图&Goaccess&ALB&Anolog
360 星图
GoAccess
ALB
Anolog
f8x
案例一: 日志自动提取-七牛Logkit&观星应急工具
Logkit
优点是可以提取多种日志
七牛下载地址:GitHub - qiniu/logkit: Very powerful server agent for collecting & sending logs & metrics with an easy-to-use web console.
设置配置文件
访问3000端口直接进行访问
前面默认即可,这里保存到本地,并设置保存路径
不断的把系统层面的信息写入到文件当中
文件保存为json格式
此外在左侧日志收集器当中还可以检测各种数据库,http服务等
测试本地mysql数据库
但是好像不是很好用测数据库以及别的协议
观星
只能支持windows系统,并且会自动备份,自动转换成json格式
会以时间格式进行命名,并且会直接打包成一个压缩包
所有日志进行打包
并且会转化成为json工具,方便分析类工具进行分析
案例二:日志自动分析-Web-360 星图&Goaccess&ALB&Anolog
上面的工具主要还是针对系统层面进行分析,下面的工具对于web层面分析会相对多一点,并且会分析安全问题
360 星图
下载地址:好用的网站日志分析工具:360星图及使用方法-自学控 - 自己建站也轻松
仅支持iis,apache,nginx,对应.net php语言
搭建一个靶场进行SQL注入测试
再搞一个xss
cc攻击一次
导入日志文件
启动360星图
结果会保存到result目录下
可以分析来源ip,访问次数,访问次数等等
但是不清楚为什么分析不出来sql注入,以及cc攻击
这个cc攻击的特征应该很明显
sql注入也很明显
网上别人的图,不太理解,先了解了用法
GoAccess
下载地址:https://github.com/allinurl/goaccess
不支持安全类的检测,只能够支持访问类,异常类,流量类的检测
环境问题安装不上 gg
ALB
主要用来分析安全漏洞,缺点是界面不是图形化界面
GitHub - Lucifer1993/ALB: 攻击日志分析工具
使用语法
python ALB.py -f D:\phpStudy\Apache\logs\access_log.txt
查看源代码主要是通过屏蔽特殊关键字进行分析
Anolog
太难装了啊啊啊啊!!!!!
项目地址:GitHub - Testzero-wz/analog: 一款基于机器学习的Web日志统计分析与异常检测命令行工具
安装依赖
配置文档,写入数据库密码,以及日志文件路径
f8x
有一款超级好用的自动化部署,各种语言环境,各种渗透工具,真心的推荐!!!
一款红/蓝队环境自动化部署工具,支持多种场景,渗透,开发,代理环境,服务可选项等.
f8x/README.zh-cn.md at main · ffffffff0x/f8x · GitHub
安装个go语言
bash f8x -go
查看是否安装