文档章节

seci-log日志分析软件版本升级了

赛克蓝德
 赛克蓝德
发布于 2015/05/03 17:43
字数 1022
阅读 213
收藏 0

这篇文章是seci-log 开源日志分析软件发布了http://www.oschina.net/news/61996/seci-log的升级内容。

上周的版本发布到了osc上后得到很多用户的下载,这给了我们很高的动力,我们在上次五种告警(非上班时间访问,非上班地点访问,密码猜测,账号猜测,账号猜测成功)的基础上有增加了敏感文件操作告警和高危命令操作告警的内容。如需了解之前的告警,请查看上篇文章。

敏感文件操作

        敏感文件操作一般是比较危险的操作,如果攻击者经攻击成功,进入了系统,在这种情况下一般要做的事情是清理现场,删除日志增加一些配置等行为,所以针对敏感文件的操作就非常重要了。这种告警的主要特点是,当设备的敏感文件被访问或者修改,则认为是敏感文件操作。由于要记录用户的敏感文件操作行为,首先要获得用户的操作行为,在linux系统中默认是没有这种操作行为的,需要进行配置,下面先介绍一下审计配置。

        1、修改linux文件中的/etc/profile文件。增加一行:export PROMPT_COMMAND='{ msg=$(history 1 | { read x y; echo $y; });logger " seciland user=$(whoami)" client=$SSH_CLIENT path=`pwd` command: "$msg"; }',增加完成后需要此文件进行生效执行 . /etc/profile。

        2、在/etc/rsyslog.conf中配置syslog发送设置: *.info;mail.none;authpriv.none;cron.none                @IP地址。

        3、重启syslog服务,service rsyslog restart。

        经过上面三步后就可以得到用户的操作行为的审计记录了。

        验证过程:首先进行敏感文件的定义,详见下图:

 

        在此配置中,设置了passwd文件和rsyslog.conf文件为敏感文件,后续如果需要添加其他敏感文件只需要在此添加就可以。

        在linux控制台中,对着两个文件进行编辑,vi /etc/rsyslog.conf;vi /etc/passwd。

        在web管理界面中查看日志。

 

        从中可以看到两条命令均已经被审计到,然后查看告警。

 

        从中可以看到,已经生产了敏感文件操作告警,在看此告警的详情,界面如下:

 

高危命令操作

        高危命令操作一般是比较危险的操作,如果攻击者经攻击成功,进入了系统,在这种情况下一般要做的事情是清理现场,删除日志增加一些配置等行为,所以针对敏感文件的操作就非常重要了。这种告警的主要特点是,当设备的敏感文件被访问或者修改,则认为是敏感文件操作。由于要记录用户的敏感文件操作行为,首先要获得用户的操作行为,在linux系统中默认是没有这种操作行为的,需要进行配置,配置的方法同敏感文件操作,只需要配置一次即可生效。

         验证过程:首先进行敏感文件的定义,详见下图:

 

        在此配置中,设置了passwd操作和rm -rf为高危操作,后续如果需要添加其他高危操作只需要在此添加就可以。

        在linux控制台中,执行passwd 命令,在home下新建一目录aa,然后再目录建一文件test,在目录home中执行rm -rf aa。

        在web管理界面中查看日志。

 

        在日志中详细看到用户的操作过程,然后查看告警:

 

        从中可以看到,已经生产了高危命令操作告警,在看此告警的详情,界面如下:

 

下载地址:http://pan.baidu.com/s/1qWt7Hxi


© 著作权归作者所有

赛克蓝德
粉丝 295
博文 119
码字总数 148992
作品 2
南京
高级程序员
私信 提问
加载中

评论(1)

d
dizh
不错。
日志分析 seci-log 1.02 发布,增加了多种告警

上周的版本发布到了osc上后得到很多用户的下载,这给了我们很高的动力,我们在上次七种种告警(非上班时间访问,非上班地点访问,密码猜测,账号猜测,账号猜测成功、敏感文件操作告警和高危命...

赛克蓝德
2015/05/07
2.3K
7
seci-log 1.06 发布 增加全文搜索

这篇文章是seci-log 开源日志分析软件的升级内容,上篇文章的地址为:http://www.oschina.net/news/63343/seci-log-1-05 本次升级的主要内容是增加了全文搜索,最近elk比较火,看了一下主要是...

赛克蓝德
2015/06/17
644
0
seci-log 1.05 发布,增加业务系统日志

这篇文章是seci-log 开源日志分析软件的升级内容,上篇文章的地址为:http://www.oschina.net/news/62922/seci-log-1-04 本次升级并没有增加新的告警,而是增加了业务日志分析,协议用的是u...

赛克蓝德
2015/06/13
1K
4
seci-log 1.10 发布 增加了全文搜索密码加密等多个功能点

日志分析软件 seci-log 1.10发布,增加了全文搜索密码加密等多个功能点。上篇文章http://www.oschina.net/news/64015/seci-log-1-09,有兴趣可以了解一下。 1、修改了windows2003 扫描资产的...

赛克蓝德
2015/07/30
0
0
seci-log 1.10 发布 增加了全文搜索集成密码加密等多个功能点

日志分析软件 seci-log 1.10发布,增加了全文搜索密码加密等多个功能点。上篇文章http://www.oschina.net/news/64015/seci-log-1-09,有兴趣可以了解一下。 1、修改了windows2003 扫描资产的...

赛克蓝德
2015/07/31
1K
0

没有更多内容

加载失败,请刷新页面

加载更多

IT兄弟连 Java语法教程 编写Java源代码

现在我们来一步一步的编写第一个Java程序,鼎鼎大名的“HelloWorld”。 编写Java源代码 编写Java源代码可以使用任何无格式的文本编辑器,在Windows操作系统上可以使用记事本、Edit Plus等程序...

老码农的一亩三分地
26分钟前
2
0
JavaScript箭头函数中的this详解

前言 箭头函数极大地简化了this的取值规则。 普通函数与箭头函数 普通函数指的是用function定义的函数: var hello = function () {console.log("Hello, Fundebug!");} 箭头函数指的是用...

开元中国2015
37分钟前
2
0
ETL测试工具简介

ETL测试 ETL测试过程与其他测试过程类似,包括一些阶段。 确定业务需求 测试计划 设计测试用例和测试数据 测试执行和错误报告 总结报告 测试结束 ETL测试的类型 生产验证测试: 也称为表平衡...

python测试开发人工智能安全
49分钟前
1
0
OSChina 周四乱弹 —— 不能空腹吃早餐

Osc乱弹歌单(2019)请戳(这里) 【今日歌曲】 @for_ :#今日歌曲推荐# 很好听的钢琴曲,节奏简单,有一点伤感。分享Fabrizio Paterlini的单曲《Veloma》: 《Veloma》- Fabrizio Paterlini ...

小小编辑
今天
1K
17
探讨android更新UI的几种方法

作为IT新手,总以为只要有时间,有精力,什么东西都能做出来。这种念头我也有过,但很快就熄灭了,因为现实是残酷的,就算一开始的时间和精力非常充足,也会随着项目的推进而逐步消磨殆尽。我...

天王盖地虎626
今天
13
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部