用户
搜索

[二进制安全] 日志分析与splunk浅谈

  • TA的每日心情
    奋斗
    2019-4-1 17:07
  • 签到天数: 188 天

    连续签到: 1 天

    [LV.7]常住居民III

    版主

    pypy

    Rank: 7Rank: 7Rank: 7

    29

    主题

    626

    帖子

    2014

    魔法币
    收听
    3
    粉丝
    31
    注册时间
    2015-11-12

    i春秋签约作者

    发表于 2017-8-27 11:35:07 1230925
    本帖最后由 xiaoye 于 2017-8-27 11:59 编辑
    难易程度:★★★
    阅读点:linux;python;web安全;日志分析;
    文章作者:xiaoye
    文章来源:i春秋
    关键字:网络渗透技术

    前言
    linux下的日志分析对企业来说非常重要,对我们分析pv或者入侵事件溯源都有很大的价值,今天来简单谈一谈日志分析方向的利器splunk,splunk应该是站在日志分析应用的顶端了,应用广泛功能强大,本文只能简单说说其安装以及应用。p.s:本文环境是自己虚拟机搭建的,不是生产环境,仅仅做演示。

    一、Nginx + uWSGI + Python + Django
    我是在CentOS 7下采用Nginx + uWSGI + Python + Django模式的部署,然后使用splunk监控/var/log/nginx/access.log 当然大家不一定非要这样做
    这块的配置我就不多说了,大家百度一下
    配置好后,开启服务:
    log1.PNG

    cat下access.log,为了方便演示这里我先echo "" > access.log 清空了一下log,如果是生产环境下切记不要随意清空日志!:
    log2.PNG

    二、利用python生成大量log内容
    咱们这里只做演示,没有那么多访问量log里内容太少怎么办,写段简单的py来不停访问我们的web服务器,这样就会在nginx的access.log里留下日志信息了
    log3.PNG
    [Python] 纯文本查看 复制代码
    #coding: utf-8
    import requests 
    
    dirs = ["admin", "admin_log", "1.php", "hack.php", ""]
    
    headers = {'User-Agent':'Mozilla/5.0 (Windows NT 10.0; WOW64; rv:50.0) Gecko/20100101 Firefox/50.0'}
    
    for i in range(1,40):
            for dir in dirs:
                    url = "http://127.0.0.1/" + dir
                    r = requests.get(url=url, headers=headers, timeout=4)
                    #print type(dir), type(headers)
                    print r.status_code

    运行下:
    log4.PNG

    看下日志条数:
    log5.PNG

    密密麻麻都是日志:
    log6.PNG

    三、splunk的搭建以及简单使用
    官网随便注册个账户,下载下来tar包,当然视操作系统而定下载合适的deb(debian系列用)/rpm(
    Redhat系列用)也可以
    然后
    [Bash shell] 纯文本查看 复制代码
    sudo tar -zxvf splunk-6.6.3-e21ee54bc796-Linux-x86_64.tgz //解压
    
    sudo mv splunk /usr/local/  //移动到/usr/local
    
    sudo ./splunk enable boot-start   //按q键,选择y
    
    sudo service splunk start  //自启动splunk

    我的安装挺顺畅,如果遇到问题百度吧。。
    然后访问http://127.0.0.1:8000,就可以看到splunk的web页面了:
    log7.PNG

    选择add data,然后添加下监控monitor:
    log8.PNG

    监视器里有一些选项:

    文件与目录:监视文件/文件夹
    HTTP事件收集器:监视通过HTTP的数据流
    TCP/UDP:监视服务端口
    脚本:监控脚本

    log9.PNG

    选择自己想要监控的类型,这里我监视一个文件夹/var/log,也可以指定日志文件/var/log/nginx/access.log
    log10.PNG

    然后就来到下面的界面了,这时候我们之前生成日志内容的脚本就排上用场了,运行一下(splunk是实时监控的):
    log11.PNG

    上方有搜索指令,右上角有图形化的访问统计情况等等等等。。
    splunk是很强大的,笔者也是接触没多少时间,就先写到这里吧。。

    四、总结

    最近也确实挺忙的,所以写的也比较匆忙,如果有错误或是不严谨的地方万望表哥们指出。遇到了坑或者想了解有关于splunk的完整功能,大家可以去官方手册查看。


    本帖被以下淘专辑推荐:

    发表于 2017-8-27 11:53:05
    可以的,这样的话更可以更高效的查看日志,被入侵的时候,溯源ip也更方便了
    111111111
    使用道具 举报 回复
    发表于 2017-8-27 12:35:26
    一楼说得对
    使用道具 举报 回复
    发表于 2017-8-27 13:04:05
    二楼说的对
    我改行了。。。
    http://penguin-wenyang.wang
    使用道具 举报 回复
    三楼说的对
    使用道具 举报 回复
    发表于 2017-8-28 08:56:15

    四楼说的对
    使用道具 举报 回复
    发表于 2017-8-28 20:39:17
    夏之冰雪 发表于 2017-8-28 08:56
    四楼说的对

    五楼说的对
    使用道具 举报 回复
    发表于 2017-8-29 15:54:18
    六楼说得对
    使用道具 举报 回复
    喧嚣如梦 i春秋-核心白帽 行动比空谈更具有说服力! 核心白帽 积极活跃奖 秦
    8#
    发表于 2017-8-29 17:34:05
    ii春秋论坛有你更精彩!
    行动比空谈更具有说服力!
    使用道具 举报 回复
    喧嚣如梦 i春秋-核心白帽 行动比空谈更具有说服力! 核心白帽 积极活跃奖 秦
    9#
    发表于 2017-8-29 17:34:18

    i春秋论坛有你更精彩!
    行动比空谈更具有说服力!
    使用道具 举报 回复
    喧嚣如梦 i春秋-核心白帽 行动比空谈更具有说服力! 核心白帽 积极活跃奖 秦
    10#
    发表于 2017-8-30 00:26:04

    春秋论坛有你更精彩!
    行动比空谈更具有说服力!
    使用道具 举报 回复
    发表于 2017-8-30 16:36:16
    期待出splunk系列教程   
    使用道具 举报 回复
    发表于 2018-9-16 21:35:31
    支持一下~
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册