日志分析 seci-log 1.02 发布,增加了多种告警 - 开源中国社区
日志分析 seci-log 1.02 发布,增加了多种告警
赛克蓝德 2015年05月07日

日志分析 seci-log 1.02 发布,增加了多种告警

赛克蓝德 赛克蓝德 发布于2015年05月07日 收藏 45 评论 7

阿里云高性能云服务器,2折起! >>> >>>  

上周的版本发布到了osc上后得到很多用户的下载,这给了我们很高的动力,我们在上次七种种告警(非上班时间访问,非上班地点访问,密码猜测,账号猜测,账号猜测成功、敏感文件操作告警和高危命令操作)的基础上有增加了主机扫描,端口扫描,非法外联告警的内容。如需了解之前的告警,请查看上篇文章。

这篇文章是seci-log 开源日志分析软件

http://www.oschina.net/news/61996/seci-log

http://www.oschina.net/news/62083/seci-log-1-01 的升级内容。

主机扫描

主机扫描是指在一台机器上对内网或者外网一个网段进行扫描,目的是要发现网络中存活的主机,为下一步的操作打下基础。这条告警和下面的端口扫描和非法外联都属于网络层面的告警,前提也是需要配置日志策略。在linux系统中大部分都内置了iptabe防火墙,可以利用iptable防火墙的日志功能进行采集日志,然后进行分析这些告警。下面介绍一下日志配置:

1、在linux下执行一下命令,可以是iptables的日志从syslog发送:

iptables-AOUTPUT-ptcp-jLOG--log-prefix"seci-iptables"--log-level4

iptables-AOUTPUT-pudp-jLOG--log-prefix"seci-iptables"--log-level4

2、配置syslog发送策略:

kern.warning@IP地址

需要注意的是*.info;mail.none;authpriv.none;cron.none;kern.none中要加上kern.none,不然就会重复发送,当然可以不要第一条,直接在info中发送也是可以的。

3、从起syslog服务:

servicersyslogrestart

4、安装nmap,下面以centos为例:

yuminstallnmap

经过以上配置就可以配置好防护墙日志发送策略。

验证过程,首先要进行配置,合法端口。详见下图:

执行nmap命令:nmap-sP192.168.21.1-20,扫描20台主机。

查看告警:

然后查看告警详情:

可以发现,nmap在主机发现的扫描中,主要探测了443和80端口,这个时候告警会产生两条主机扫描的告警。

端口扫描

端口扫描是指在一台机器上对内网或者外网的另一台机器进行端口扫描,目的是要发现网络中主机开放的端口信息,为下一步的操作打下基础。这条告警也属于网络层面的告警,前提也是需要配置日志策略。详细的配置信息详见主机扫描。

验证过程:执行nmap命令:nmap-p20-80192.168.21.1地址,扫描61个端口。

查看告警:

查看详情:

   可以看出扫描了此机器的端口多个不同端口的信息。

非法外联

非法外联是指在一台机器上不该有的其他连接信息,比如服务器,正常情况下可能只开放了80,22端口,而且一般服务器是被动接收的日志,当发现日志中有主动发起的连接而且不是规定的端口,很有可能是中了木马,这个时候要特别关注。这条告警也属于网络层面的告警,前提也是需要配置日志策略。详细的配置信息详见主机扫描。

验证过程,首先要进行配置,合法端口。详见下图:

表示本机22和514端口是合法的端口其他端口都是非法端口,执行上面主机扫描或者端口扫描的nmap命令,即可产生非法外联告警。

查看详情:

从中可以看出有非法外联行为,里面的日志有的是和主机扫描或者端口扫描重复。

下载地址:http://pan.baidu.com/s/1qWt7Hxi 里面的secilog-update050507.zip文件

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:日志分析 seci-log 1.02 发布,增加了多种告警
分享
评论(7)
最新评论
0

引用来自“涂老三”的评论

更新太频繁了吧,一会更新几个文件,一会又更新几个文件
1)集中起来定期更新
2)是否考虑在线自动更新

引用来自“赛克蓝德”的评论

建议很好,后面可以考虑。

引用来自“涂老三”的评论

东东确实不错,转了
http://www.cnyunwei.com/thread-28400-1-1.html
感谢支持
0

引用来自“涂老三”的评论

更新太频繁了吧,一会更新几个文件,一会又更新几个文件
1)集中起来定期更新
2)是否考虑在线自动更新

引用来自“赛克蓝德”的评论

建议很好,后面可以考虑。
东东确实不错,转了
http://www.cnyunwei.com/thread-28400-1-1.html
0

引用来自“涂老三”的评论

更新太频繁了吧,一会更新几个文件,一会又更新几个文件
1)集中起来定期更新
2)是否考虑在线自动更新
建议很好,后面可以考虑。
0
更新太频繁了吧,一会更新几个文件,一会又更新几个文件
1)集中起来定期更新
2)是否考虑在线自动更新
0

引用来自“苟氏杰”的评论

干嘛的
采集日志,分析是否有安全事件,如果有则产生告警。
0
干嘛的
0
好哎
顶部