轻松搞定日志的可视化(第一部分)
发表于:2024-09-22 作者:千家信息网编辑
千家信息网最后更新 2024年09月22日,应用场景:SSH日志可视化分析说起日志可视化,听上去高大上,实现起来不是进过繁琐配置就是需要写代码,这一目标小白的确门槛有些高,其实不然,只要你选对平台,实现起来很容易。下面是从若干条SSH日志中随机
千家信息网最后更新 2024年09月22日轻松搞定日志的可视化(第一部分)
应用场景:SSH日志可视化分析
说起日志可视化,听上去高大上,实现起来不是进过繁琐配置就是需要写代码,这一目标小白的确门槛有些高,其实不然,只要你选对平台,实现起来很容易。
下面是从若干条SSH日志中随机抽取的一条,我们能从中发现何种端倪?
Mar 17 01:47:21 10.X.Y.Z sshd[14845]: Failed password for root from 1X.1Y.Z.Z port 59562 ssh3
一般而言我们从上面的日志能了解到时间、IP地址、端口号,进程名等常规信息,再也看不出更深入的东西,如果是成千上万条类似这种信息,我们需要花费多长时间来分析?结论是否客观?我想每个人心中都会有答案。下面带着疑问我们先看看OSSIM的分析结果:
特征:口令验证失败
时间:间隔非常密集,到底密集到什么程度?接下来我们用SIEM控制台下的timeline功能进行量化。
源地址、目的地址、源端口、目的端口 用户名、风险值等等。
下面的时间线分析,将直观的看出每秒***的次数。
好了,我们再去仔细观察经过归一化处理后的SSH暴力破解的安全事件内容。
这里直观的告诉我们***类型,次数持续时间,IP地址所属国家,甚至可以在谷歌地图上精确定位IP
接下来我们在启动全局报警图上找到这类SSH暴力破解报警信息。
还可在仪表盘上,轻松的展示出这类报警所占比例,便于安全人员更深入分析这次安全事件发生发展及一些因果关系。
好了,仅一条SSH口令认证失败的日志信息牵扯出如此多的内容,下面还有更多的日志等着我们分析... ...例如可视化网络风险分析,可视化***事件分析等...
参考资料:
经典OSSIM教程 《开源安全运维平台OSSIM最佳实践》
OSSIM多媒体教程:http://edu.51cto.com/course/course_id-1186.html
分析
日志
可视化
信息
地址
时间
安全
事件
报警
直观
接下来
内容
口令
平台
教程
暴力
次数
目的
端口
面的
数据库的安全要保护哪些东西
数据库安全各自的含义是什么
生产安全数据库录入
数据库的安全性及管理
数据库安全策略包含哪些
海淀数据库安全审计系统
建立农村房屋安全信息数据库
易用的数据库客户端支持安全管理
连接数据库失败ssl安全错误
数据库的锁怎样保障安全
畅捷通t3考试服务器
天无涯网络技术
wmi数据库损坏
服务器输入法
柳州市风行网络技术有限公司
网络技术时代秘书的变化
网络安全 榜
数据库文本应设置格式
慈溪计算机软件开发平台
河南联通服务器升级虚拟主机
全力确保网络安全
亿联网络技术竞争力
关于网络安全实例
文献数据库有哪些
公安部网络安全总队机构设置
关系型数据库编程实例
如何查询自己数据库字符集
如何下载安装网络安全证书
大学生网络安全意识发言稿
广州时众网络技术有限公司
web服务器安全实验报告
卫士通中标中国烟草网络安全
魂3服务器关了
机架服务器 英文
渣打科营 软件开发
计算机网络安全管理如何实现
网络安全手抄报难度高又漂亮
网络安全情报分析岗位待遇
网络安全方案设计与实施
奶块无尽之海服务器竹林