一、日誌收集及告警專案背景
近來安全測試專案較少,想著把安全裝置、nginx日誌收集起來並告警, 話不多說,直接說重點,搭建背景:
1. 日誌源:安全裝置日誌(imperva waf、綠盟waf、paloalto防火牆)、nginx日誌等;2. 日誌分析開源軟體:elk,告警外掛程式:sentinl 或elastalert,告**式:釘釘和郵件;3. 安全裝置日誌->logstash->es,nginx日誌由於其他部門已有乙份(flume->kafka)我們通過kafka->logstash->es再輸出乙份,其中logstash的正則過濾規則需要配置正確,不然比較消耗效能,建議寫之前使用grokdebug先測試好再放入配置檔案;4. 搭建系統:centos 7 , jdk 1.8, python 2.75. elk統一版本為5.5.2es:
kibana:
logstash:
二、安全裝置日誌收集
2.1 imperva waf配置
策略->操作集->新增日誌告警規則
我這邊沒有用裝置自身的一些日誌規則,而是根據手冊自定義了一些需要的日誌字段,可在自定義策略的訊息填入如下字段:
starttime=$!alarmid=$! eventid=$! aggregationinfo=$!alert_level=$! rulename=$! category=$! alert_description=$!eventtype=$! policyname=$!srcip=$! srcport=$!proto=$! dstip=$!dstport=$! webmethod=$!domain=$! url=$!responsecode=$!alert_key=$!action=$! responsetime=$!responsesize=$! headers_value=$!parameters_value=$!
引數說明:告警開始時間、告警id、事件id、事情數量、告警級別…. http返回碼、觸發告警字串、響應動作、響應時間、響應大小、http包頭的值,中間省略的部分請自行檢視手冊。其實imperva waf的總日誌字段數不少於一兩百個,單從這一點可以看出確實好於國產waf太多。
針對imperva waf的logstash配置如下:
input } filter { grok { match =>["message
運維自動化
1,cobbler安裝環境準備 安裝epel epel release 6 8.noarch.rpm x86 64 epel release 6 8.noarch.rpm x86 安裝系列依賴環境 要是區域網用,建議關閉iptables 或是放行25151 80 69埠 和關閉selinux 檢視狀...
自動化運維
考慮的因素 源 打包為映象 發布到映象庫 利用k8s發布到物理機器執行,以服務的形式對外提供服務 目前的做法 0 建立乙個執行遠端命令的框架 1 每個應用建立乙個部署檔案指令碼 a 指定元 位址 c 同步源 到目標主機 d 接受指令碼引數 vername 2 版本號,映象tag fromport 3...
自動化運維 Spug 輕量級自動化運維平台
對於中小型企業而言,進行主機和應用的管理是比較麻煩的,應用部署往往需要直接連線伺服器,再進行手動的環境配置 拉取 應用構建和部署發布等工作,容易出錯,且耗時費力。乙個好的自動化運維平台,往往能大大節省人力物力,提高開發部署效率。spug,正是乙個面向中小型企業設計的輕量級自動化運維平台。spug,是...