seci-log 1.04 增加 windows 日志分析 - 开源中国社区
seci-log 1.04 增加 windows 日志分析
赛克蓝德 2015年05月31日

seci-log 1.04 增加 windows 日志分析

赛克蓝德 赛克蓝德 发布于2015年05月31日 收藏 18 评论 4

有免费的MySQL,为什么还要买? >>>  

这篇文章是seci-log 开源日志分析软件的升级内容,上篇文章的地址为:http://www.oschina.net/news/62548/seci-log-1-03

本次升级并没有增加新的告警,而是增加了window的日志分析,主要分析了windows的登录日志和操作日志,这两个比较重要的日志类型,其他日志类型可以作为通用的日志收集功能进行存储查询。

Windows系统没有自带的功能支持系统日志进行syslog发送,因此需要依赖第三方工具,这里我们推荐一款非常好用的轻量级日志采集模块:Nxlog,在Windows下部署和配置均十分便捷。

注:本人测试过2008 server,理论上2012也是可以的,其他环境没有测试,如果有问题欢迎到群里咨询。

1、安装Nxlog

从Sourceforge下载最新的 Nxlog,并安装。

2、建立配置文件

修改配置文件,默认配置文件位置:

C:\Program Files\nxlog\conf\nxlog修改为以下内容,注意要修改实际路径和争取的发送目的的地址。

如果想收集全部日志去掉query行。

im_msvistalog针对Windows 2008系列,im_mseventlog针对Windows 2003系列。注意和实际环境一致。

?

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
define ROOT C:\Program Files\nxlog
 
Moduledir %ROOT%\modules
CacheDir %ROOT%\data
Pidfile %ROOT%\data\nxlog.pid
SpoolDir %ROOT%\data
LogFile %ROOT%\data\nxlog.log
 
<Extension syslog>
Module xm_syslog
</Extension>
 
<Input in>
    Module      im_msvistalog
ReadFromLast TRUE
 Query <QueryList><Query Id="1"><Select Path="Security">*[System[(EventID=4688 or EventID=4624 or EventID=4625) ]]</Select></Query></QueryList>
Exec  $Message = ""; 
Exec to_syslog_ietf(); $raw_event = replace($raw_event, 'NXLOG@14506', 'secisland windows eventlog ', 1);
</Input>
 
<Output out>
    Module      om_udp
    Host        192.168.21.1
    Port        514
 
</Output>
 
<Route 1>
    Path        in => out
</Route>

3、重启Nxlog服务

4、查看日志

如果配置正常,可以在后台安全健康--安全事件中看到如下日志:

2015-05-30T23:01:39.971740+08:00 WIN-TI494OC1RZO.secisland.com Microsoft-Windows-Security-Auditing 600 - [secisland windows eventlog Keywords="-9214364837600034816" EventType="AUDIT_SUCCESS" EventID="4624" ProviderGuid="{54849625-5478-4994-A5BA-3E3B0328C30D}" Version="0" Task="12544" OpcodeValue="0" RecordNumber="71402" ThreadID="2092" Channel="Security" Category="登录" Opcode="信息" SubjectUserSid="S-1-0-0" SubjectUserName="-" SubjectDomainName="-" SubjectLogonId="0x0" TargetUserSid="S-1-5-18" Ta

5、相关告警

密码猜测,非上班时间登录,非上班地点登录,密码猜测成功,账号猜测告警和这些内容相关。

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:seci-log 1.04 增加 windows 日志分析
分享
评论(4)
最新评论
0

引用来自“-Simple-”的评论

79一大步
感谢支持。
0
79一大步
0
感谢支持,欢迎使用。
0
@林 做的越来越好啦...
顶部