2019獨(dú)角獸企業(yè)重金招聘Python工程師標(biāo)準(zhǔn)>>>

這篇文章是seci-log 開源日志分析軟件

http://www.oschina.net/news/61996/seci-log

http://www.oschina.net/news/62083/seci-log-1-01? 的升級(jí)內(nèi)容。

上周的版本發(fā)布到了osc上后得到很多用戶的下載，這給了我們很高的動(dòng)力，我們在上次七種種告警(非上班時(shí)間訪問，非上班地點(diǎn)訪問，密碼猜測(cè)，賬號(hào)猜測(cè)，賬號(hào)猜測(cè)成功、敏感文件操作告警和高危命令操作)的基礎(chǔ)上有增加了主機(jī)掃描，端口掃描，非法外聯(lián)告警的內(nèi)容。如需了解之前的告警，請(qǐng)查看上篇文章。

主機(jī)掃描

????????主機(jī)掃描是指在一臺(tái)機(jī)器上對(duì)內(nèi)網(wǎng)或者外網(wǎng)一個(gè)網(wǎng)段進(jìn)行掃描，目的是要發(fā)現(xiàn)網(wǎng)絡(luò)中存活的主機(jī)，為下一步的操作打下基礎(chǔ)。這條告警和下面的端口掃描和非法外聯(lián)都屬于網(wǎng)絡(luò)層面的告警，前提也是需要配置日志策略。在linux系統(tǒng)中大部分都內(nèi)置了iptabe防火墻，可以利用iptable防火墻的日志功能進(jìn)行采集日志，然后進(jìn)行分析這些告警。下面介紹一下日志配置：

????????1、在linux下執(zhí)行一下命令，可以是iptables的日志從syslog發(fā)送：

????????iptables?-A?OUTPUT?-p?tcp?-j?LOG?--log-prefix?"seci-iptables?"??--log-level?4?

????????iptables?-A?OUTPUT?-p?udp?-j?LOG?--log-prefix?"seci-iptables?"??--log-level?4

????????2、配置syslog發(fā)送策略：

????????kern.warning????????????????????????????????????????????@IP地址

????????需要注意的是*.info;mail.none;authpriv.none;cron.none;kern.none?中要加上?kern.none,不然就會(huì)重復(fù)發(fā)送，當(dāng)然可以不要第一條，直接在info中發(fā)送也是可以的。

????????3、從起syslog服務(wù):

????????service?rsyslog?restart

????????4、安裝nmap，下面以centos為例：

????????yum?install?nmap

????????經(jīng)過以上配置就可以配置好防護(hù)墻日志發(fā)送策略。

???????驗(yàn)證過程，首先要進(jìn)行配置，合法端口。詳見下圖：

????????執(zhí)行nmap命令：nmap?-sP?192.168.21.1-20??，掃描20臺(tái)主機(jī)。

????????查看告警：

????????然后查看告警詳情：

?

?

????????可以發(fā)現(xiàn)，nmap在主機(jī)發(fā)現(xiàn)的掃描中，主要探測(cè)了443和80端口，這個(gè)時(shí)候告警會(huì)產(chǎn)生兩條主機(jī)掃描的告警。

端口掃描

????????端口掃描是指在一臺(tái)機(jī)器上對(duì)內(nèi)網(wǎng)或者外網(wǎng)的另一臺(tái)機(jī)器進(jìn)行端口掃描，目的是要發(fā)現(xiàn)網(wǎng)絡(luò)中主機(jī)開放的端口信息，為下一步的操作打下基礎(chǔ)。這條告警也屬于網(wǎng)絡(luò)層面的告警，前提也是需要配置日志策略。詳細(xì)的配置信息詳見主機(jī)掃描。

????????驗(yàn)證過程：執(zhí)行nmap命令：nmap?-p?20-80?192.168.21.1地址??，掃描61個(gè)端口。

????????查看告警：

?

????????查看詳情：

?? ? ? ? 可以看出掃描了此機(jī)器的端口多個(gè)不同端口的信息。

非法外聯(lián)

????????非法外聯(lián)是指在一臺(tái)機(jī)器上不該有的其他連接信息，比如服務(wù)器，正常情況下可能只開放了80，22端口，而且一般服務(wù)器是被動(dòng)接收的日志，當(dāng)發(fā)現(xiàn)日志中有主動(dòng)發(fā)起的連接而且不是規(guī)定的端口，很有可能是中了木馬，這個(gè)時(shí)候要特別關(guān)注。這條告警也屬于網(wǎng)絡(luò)層面的告警，前提也是需要配置日志策略。詳細(xì)的配置信息詳見主機(jī)掃描。

????????驗(yàn)證過程，首先要進(jìn)行配置，合法端口。詳見下圖：

?

????????表示本機(jī)22和514端口是合法的端口其他端口都是非法端口，執(zhí)行上面主機(jī)掃描或者端口掃描的nmap命令，即可產(chǎn)生非法外聯(lián)告警。

?

????????查看詳情：

?

????????從中可以看出有非法外聯(lián)行為，里面的日志有的是和主機(jī)掃描或者端口掃描重復(fù)。

下載地址：http://pan.baidu.com/s/1qWt7Hxi? 里面的secilog-update050507.zip文件

轉(zhuǎn)載于:https://my.oschina.net/secisland/blog/411920

總結(jié)

以上是生活随笔為你收集整理的seci-log1.02日志分析软件版本升级了的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。