文档章节

seci-log1.02日志分析软件版本升级了

赛克蓝德
 赛克蓝德
发布于 2015/05/07 17:25
字数 1081
阅读 67
收藏 0

这篇文章是seci-log 开源日志分析软件

http://www.oschina.net/news/61996/seci-log

http://www.oschina.net/news/62083/seci-log-1-01  的升级内容。

上周的版本发布到了osc上后得到很多用户的下载,这给了我们很高的动力,我们在上次七种种告警(非上班时间访问,非上班地点访问,密码猜测,账号猜测,账号猜测成功、敏感文件操作告警和高危命令操作)的基础上有增加了主机扫描,端口扫描,非法外联告警的内容。如需了解之前的告警,请查看上篇文章

主机扫描

        主机扫描是指在一台机器上对内网或者外网一个网段进行扫描,目的是要发现网络中存活的主机,为下一步的操作打下基础。这条告警和下面的端口扫描和非法外联都属于网络层面的告警,前提也是需要配置日志策略。在linux系统中大部分都内置了iptabe防火墙,可以利用iptable防火墙的日志功能进行采集日志,然后进行分析这些告警。下面介绍一下日志配置:

        1、在linux下执行一下命令,可以是iptables的日志从syslog发送:

        iptables -A OUTPUT -p tcp -j LOG --log-prefix "seci-iptables "  --log-level 4 

        iptables -A OUTPUT -p udp -j LOG --log-prefix "seci-iptables "  --log-level 4

        2、配置syslog发送策略:

        kern.warning                                            @IP地址

        需要注意的是*.info;mail.none;authpriv.none;cron.none;kern.none 中要加上 kern.none,不然就会重复发送,当然可以不要第一条,直接在info中发送也是可以的。

        3、从起syslog服务:

        service rsyslog restart

        4、安装nmap,下面以centos为例:

        yum install nmap

        经过以上配置就可以配置好防护墙日志发送策略。

       验证过程,首先要进行配置,合法端口。详见下图:

        执行nmap命令:nmap -sP 192.168.21.1-20  ,扫描20台主机。

        查看告警:

        然后查看告警详情:

 

 

        可以发现,nmap在主机发现的扫描中,主要探测了44380端口,这个时候告警会产生两条主机扫描的告警。

端口扫描

        端口扫描是指在一台机器上对内网或者外网的另一台机器进行端口扫描,目的是要发现网络中主机开放的端口信息,为下一步的操作打下基础。这条告警也属于网络层面的告警,前提也是需要配置日志策略。详细的配置信息详见主机扫描。

        验证过程:执行nmap命令:nmap -p 20-80 192.168.21.1地址  ,扫描61个端口。

        查看告警:

 

        查看详情:

         可以看出扫描了此机器的端口多个不同端口的信息。

非法外联

        非法外联是指在一台机器上不该有的其他连接信息,比如服务器,正常情况下可能只开放了8022端口,而且一般服务器是被动接收的日志,当发现日志中有主动发起的连接而且不是规定的端口,很有可能是中了木马,这个时候要特别关注。这条告警也属于网络层面的告警,前提也是需要配置日志策略。详细的配置信息详见主机扫描。

        验证过程,首先要进行配置,合法端口。详见下图:

 

        表示本机22514端口是合法的端口其他端口都是非法端口,执行上面主机扫描或者端口扫描的nmap命令,即可产生非法外联告警。

 

        查看详情:

 

        从中可以看出有非法外联行为,里面的日志有的是和主机扫描或者端口扫描重复。

下载地址:http://pan.baidu.com/s/1qWt7Hxi  里面的secilog-update050507.zip文件

© 著作权归作者所有

赛克蓝德
粉丝 297
博文 121
码字总数 149917
作品 2
南京
高级程序员
私信 提问
seci-log 1.06 发布 增加全文搜索

这篇文章是seci-log 开源日志分析软件的升级内容,上篇文章的地址为:http://www.oschina.net/news/63343/seci-log-1-05 本次升级的主要内容是增加了全文搜索,最近elk比较火,看了一下主要是...

赛克蓝德
2015/06/17
644
0
日志分析 seci-log 1.02 发布,增加了多种告警

上周的版本发布到了osc上后得到很多用户的下载,这给了我们很高的动力,我们在上次七种种告警(非上班时间访问,非上班地点访问,密码猜测,账号猜测,账号猜测成功、敏感文件操作告警和高危命...

赛克蓝德
2015/05/07
2.3K
7
seci-log 1.05 发布,增加业务系统日志

这篇文章是seci-log 开源日志分析软件的升级内容,上篇文章的地址为:http://www.oschina.net/news/62922/seci-log-1-04 本次升级并没有增加新的告警,而是增加了业务日志分析,协议用的是u...

赛克蓝德
2015/06/13
1K
4
seci-log 1.13 发布 简化了安装和程序底层结构做了调整

日志分析软件 seci-log 1.13发布,简化了安装和程序底层结构做了调整。上篇文章1.12,有兴趣可以了解一下。本次升级合并了linux和windows版本。这两个版本都为绿色版本(需要提前安装java 1....

赛克蓝德
2015/09/19
183
1
seci-log 1.11 发布,增加 ftpserver 等功能

日志分析软件 seci-log 1.11发布,增加了增加了ftpserver,远程ftp,sftp采集简化配置等功能。上篇文章http://www.oschina.net/news/64725/seci-log-1-10,有兴趣可以了解一下。增加内容如下...

赛克蓝德
2015/08/14
955
2

没有更多内容

加载失败,请刷新页面

加载更多

抽象同步队列AQS——AbstractQueuedSynchronizer锁详解

AQS——锁的底层支持 谈到并发,不得不谈ReentrantLock;而谈到ReentrantLock,不得不谈AbstractQueuedSynchronizer(AQS)! 类如其名,抽象的队列式的同步器,AQS定义了一套多线程访问共享资...

须臾之余
今天
3
0
springboot配置百度UEditor 富文本详解

富文本简介 UEditor是由百度web前端研发部开发所见即所得富文本web编辑器,具有轻量,可定制,注重用户体验等特点,开源基于MIT协议,允许自由使用和修改代码... 准备工作 ueditor需要单独文...

wotrd
昨天
4
0
mysql 5.7之my.cnf配置大全

[client]port = 3306socket = /tmp/mysql.sock[mysqld]###############################基础设置######################################Mysql服务的唯一编号 每个mysql服务...

Online_Reus
昨天
3
0
MAVEN打包时引入外部链接的包

1.项目引入了ORACLE的jar包,MAVEN配置如下 2.打jar包的时候需要指定下main入口函数mainClass <dependency> <groupId>com.oracle</groupId> <artifactId>ojdbc6</artifactId> ......

Cobbage
昨天
3
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部