第167天：应急响应-日志自动提取分析项目_ELK_Logkit_LogonTracer_Anolog等

目录

案例一： 日志自动提取-七牛Logkit&观星应急工具

Logkit

观星

案例二：日志自动分析-Web-360 星图&Goaccess&ALB&Anolog

360 星图

GoAccess

ALB

Anolog

f8x

案例一： 日志自动提取-七牛Logkit&观星应急工具

Logkit

优点是可以提取多种日志

七牛下载地址：GitHub - qiniu/logkit: Very powerful server agent for collecting & sending logs & metrics with an easy-to-use web console.

设置配置文件

访问3000端口直接进行访问

前面默认即可，这里保存到本地，并设置保存路径

不断的把系统层面的信息写入到文件当中

文件保存为json格式

此外在左侧日志收集器当中还可以检测各种数据库，http服务等

测试本地mysql数据库

但是好像不是很好用测数据库以及别的协议

观星

只能支持windows系统，并且会自动备份，自动转换成json格式

会以时间格式进行命名，并且会直接打包成一个压缩包

所有日志进行打包

并且会转化成为json工具，方便分析类工具进行分析

案例二：日志自动分析-Web-360 星图&Goaccess&ALB&Anolog

上面的工具主要还是针对系统层面进行分析，下面的工具对于web层面分析会相对多一点，并且会分析安全问题

360 星图

下载地址：好用的网站日志分析工具：360星图及使用方法-自学控 - 自己建站也轻松

仅支持iis，apache，nginx，对应.net php语言

搭建一个靶场进行SQL注入测试

再搞一个xss

cc攻击一次

导入日志文件

启动360星图

结果会保存到result目录下

可以分析来源ip，访问次数，访问次数等等

但是不清楚为什么分析不出来sql注入，以及cc攻击

这个cc攻击的特征应该很明显

sql注入也很明显

网上别人的图，不太理解，先了解了用法

GoAccess

下载地址：https://github.com/allinurl/goaccess

不支持安全类的检测，只能够支持访问类，异常类，流量类的检测

环境问题安装不上 gg

ALB

主要用来分析安全漏洞，缺点是界面不是图形化界面

GitHub - Lucifer1993/ALB: 攻击日志分析工具

使用语法

python ALB.py -f D:\phpStudy\Apache\logs\access_log.txt

查看源代码主要是通过屏蔽特殊关键字进行分析

Anolog

太难装了啊啊啊啊！！！！！

项目地址：GitHub - Testzero-wz/analog: 一款基于机器学习的Web日志统计分析与异常检测命令行工具

 安装依赖

配置文档，写入数据库密码，以及日志文件路径

f8x

有一款超级好用的自动化部署，各种语言环境，各种渗透工具，真心的推荐！！！

 一款红/蓝队环境自动化部署工具,支持多种场景,渗透,开发,代理环境,服务可选项等.

f8x/README.zh-cn.md at main · ffffffff0x/f8x · GitHub

安装个go语言

bash f8x -go

查看是否安装