赛克日志分析软件用户手册

重赛克日志.............................................................................................................. 安 Window安 linux安 Linuxsyslog配 的支持 WEB系统登 首 安全........................................................................................................................... 系统........................................................................................................................... 产品介绍赛克日志(简称：seci-log)是日志收集,可以收集日志，目前支持syslog日志，后续会增加文件，数据库日志。对日志进行分析，产生告警。目前主要分析linux的安全日志，目前实现的告警有：猜测，非上班时间登录，非上班地点登产品结构图器部分，第一部分是日志发送方(syslog)，其余三部分是本产品的主要部分，这如何开始工作部署产品的流程是先安装数据库，导入数据，安装java环境，然后解压程序，配置好数据库连接和collect的ip地址，最后就可以启动程序和web程序。这样产品就部署好了。如果方便起见可以直接使用window的绿色版本。只要直接解压启动就可以部syslog发送，网络畅通的情况下，产品就可以接收到日志并进行分析了。当有日志的时候，web界面上就可以直接看到的结果。安Window安在windowssecilog-1.0-windows.zip(后面版本不同命名可能不一样，已最终先修改perties文件中的hostip就是本机的IP地址，再确定本机的514，8080，3306端口没有被占用后就可以开始运行了，直接运行mysql_start.bat，runcollect.bat，runtomcat.bat分别启动mysql，，tomcatweb服务器。linux安Linux安装首先要安装mysql5.5以上和java1.7版本环境。具体安装方法就不在此介8，把 下的mysql-logfree.sql导入到mysql库中。然后linux安装包secilog-1.0-linux.tar.gz(后面版本不同命名可能不太一样，已最终实际为准)到linux的。比如/opt/seiclog，解压后的结构如下：先修改perties文件中的hostip就是本机的IP地址，在确定本机的别，tomcatweb服务器。Linuxsyslog版本和工具不太一样，下面已最常用的rsyslog为例来说明syslog的配置。首先在linux下查看进程确认是否安装：psef|greprsyslogd|grepvgrep，如下图所 @ip类型的日志也可以发送到，只做了authpriv部分关键日志的分析，其他日志Window日志配行支持。经过测试，nxlogwindows下eventlogsyslog，本系统只对nxlogcommonsyslog的1、工具，地址为2、在windows下安装；nxlog-ce-3、修改配置文件，默认配置文件位置为：C:\ProgramFiles\nxlog\conf\nxlog，修改成下面的内容，注意安装路径和syslog发送地址要和实际的一致；4、重启nxlog服务(控制面板--管理工具--服务中的nxlog)。下面是2003中文版配置示例：CacheDir%ROOT%\dataSpoolDir%ROOT%\dataLogFileModule<Input Execto_syslog_ietf();$raw_event=replace($raw_event,'NXLOG@14506','seci-win-2003gb2312',1);<Outputout> in=>Moduledir%ROOT%\modulesCacheDir%ROOT%\dataPidfile%ROOT%\data\nxlog.pidSpoolDir%ROOT%\dataLogFileModulexm_syslog<Input ReadFromLastTRUEExec$Message=Execto_syslog_ietf();$raw_event=replace($raw_event,'NXLOG@14506',seci-win-2008',<Output (发送地 <Route in=>全文搜索支持本系统集成了Elasticsearch作为全文搜索引擎，kibana作为全文搜索查看工具。日志分析入全文搜索库已经在collect中自动完成了，在启动的时候需要注意先启动elasticsearch然后再启动collecasticsearchrunsearch.bat就可以执行，kibanarunkibana.bat就可以执行全文搜索查看工具,在linux下需要执行相应的sh文件。安装好后在浏览器中输入则进入一下界面，表示运行选择collectDate，点击create注意：在linux下要注意bin 下的文件elasticsearch/bin，kibana/bin/，的支持系统提供了v2c和v3两种协议的支持。首先要有端口，系统已经默认设置了的接收端口10163。v2c，只需要配置接收的ip和端口就可以正常，但对 要有帐号，口令，口令加密算法，报文加密密钥，系统目前的的账号为secisland，口令，口令加密算法为MD5，报文加密密钥为 AES128。这些都是系统内置的。当用户需要发送v3的时候，需要把这些内容配置好，程序就可以收集到报文了。业务日志分析格式介绍通过前面的介绍可以知道，系统对标syslog已经可以全部接收，部分内容可以精准分析从而产生告警。现在对业务日志也可以进行分析了，协议用的是udp514端口，和syslog公用一个端口；由于业务日志五花八门要想进行适配和分析，必须先定好格式。下secislandbusinesslogtime="2015-04-2615:42:34"user="zhangsan"type=logininbiz="oa"model="web"srcip=srcport=442srcprocess="ie"host=oa1hostip=hostport=80result=successprotocol=httphttpurl=""desc="testaa"字内备表示seci-log可以识别的业务日志标志时时间格式是固定的年-月-日时:分:秒,需要两头加双引需要加双引时间类可以任意，logininloginout这两个是系统内置的，当业务系业务系统名称，加双加双引源进程加双引业务端结协http加双引描加双引代码示例publicstaticvoidsendSyslog(Stringaddress,intport,Stringmessage)throwsUnknownHostException,IOException{DatagramSocketsocket=newDatagramSocket();InetAddressclient=InetAddress.getByName(address);byte[]buffer=message.getBytes();DatagramPacketpacket=newDatagramPacket(buffer,buffer.length,client,port);}publicstaticvoidsendSyslog(stringaddress,intport,string{byte[]data=newIPEndPointipep=newIPEndPoint(IPAddress.Parse(address),port);Socketserver=newSocket(AddressFamily.InterNetwork,SocketType.Dgram,data=Encoding.ASCII.GetBytes(message);server.SendTo(data,data.Length,SocketFlags.None,ipep);}功能说明WEB系统登 菜单介绍首一段时间内的日志数量和告警数量，下面的部分是实时展示的日志内容和的告警安全IP，日志内容进行审计报表安全配置后续处理：目前后续处理有邮件，syslog，和封ip。Syslog：当此告警产生的时候，会发送syslog到相关系统。封ip：当此告警产生的时候，会通过ssh协议配置iptable封ip，此种方式只支持linux系统，并且安装使用了iptables的设备，的配置方式在资产管理中进行接口，syslog接口，接口。接资产管理产扫描借助了nmap的扫描能力，nmap在系统中已经集成到系统中了，但nmap在window下依赖wi ap，所以需要手动安装wi ap，文件路径在程序的tools 在扫描资产界面中输入IP段，格式为-100，表示扫描到00这100台机器。如果安装在linux系统中，需要实现nmap安装到系统中。日志分资产管理列表中的日志配置进行配置。里面需要填写端口，帐号，，日志路径和日志文件名，帐号需要有日志的权限，并且具有可以执行pwd,sed,wc,cat的权限。如果需要分析日志要先填写好信息后保存后，然后再点击日志分析。日志分析一次只能对一系统管理可以通过单击左边的账号管理–组织管理，来查看本系中所录入的组织内容。通过通过单击左边的账号管理–角色管理，来查看本系中所存在的角色。具体的结果如通