seci-log 1.05 发布,日志分析增加业务系统日志

本次升级并没有增加新的告警,而是增加了业务日志分析,协议用的是udp 514端口,和syslog公用一个端口;由于业务日志五花八门要想进行适配和分析,必须先定好格式。下面详细介绍一下日志的格式,关键内容是以空格作为区分,属性和值是用等号进行分开的,整个日志中secisland business log 这三个字母是必须有的,其他字段都可以没有,但为了审计和分析的准确性,建议能加的都加上。格式示例如下:

secisland business log time="2015-04-26 15:42:34" user="zhang san" type=loginin biz="oa" model="web" srcip=192.168.1.1 srcport=442 srcprocess="ie" host=oa1 hostip=192.168.1.1 hostport=80 result=success protocol=http httpurl="http://aaa/login" desc="test aa"

字段                                  内容           备注

secisland business log 固定值 表示seci-log可以识别的业务日志标志。

time                           时间          时间格式是固定的年-月-日 时:分:秒,需要两头加双引号

user                                 用户名 需要加双引号

type                                 时间类型 可以任意,loginin和loginout这两个是系统内置的,当是这两个的时候可以产生登录类的告警。

biz                                 业务系统 业务系统名称,加双引号

model                            模块名 加双引号

srcip                                 源ip

srcport                        源端口

srcprocess                源进程名 加双引号

host                                主机名

hostip                        业务ip

hostport                        业务端口

result                        结果

protocol                           协议

httpurl                          http url 加双引号

desc                                 描述 加双引号

代码示例

列出了目前最主流的java和c#的的两个udp客户端代码的示例,其他语言类似的:

java

public static void sendSyslog(String address, int port, String message) throws UnknownHostException,IOException {

        DatagramSocket socket = new DatagramSocket();

        InetAddress client = InetAddress.getByName(address);

        byte[] buffer = message.getBytes();

        DatagramPacket packet = new DatagramPacket(buffer, buffer.length, client, port);

        socket.send(packet);

        socket.close();

    }

c#

 public static void sendSyslog(string address, int port, string message)

        {

            byte[] data = new byte[1024];

            IPEndPoint ipep = new IPEndPoint(IPAddress.Parse(address), port);

            Socket server = new Socket(AddressFamily.InterNetwork, SocketType.Dgram, ProtocolType.Udp);

            data = Encoding.ASCII.GetBytes(message);

            server.SendTo(data, data.Length, SocketFlags.None, ipep);

            server.Close();            

        }

时间: 2024-10-13 20:50:32

seci-log 1.05 发布,日志分析增加业务系统日志的相关文章

seci-log 1.09 发布 日志分析增加了多个报表和功能点

日志分析软件增加了多个功能点: 1.增加用户的时候密码可以自己输入,以前是默认密码,然后可以登录修改. 2.资产管理增加了资产导入功能. 3.增加了告警导出功能. 4.增加了三方接口配置,可以配置邮件,syslog.snmp trap.这样当产生新的告警的时候就可以向第三方接口发送告警信息. 5.告警规则增加了编辑功能,增加了告警输出第三方接口的能力.如果是linux并且在资产中配置ip,端口,账号,密码,开通了防火墙可以远程这是封攻击源ip. 6.增加了审计监控和系统监控两个大模块. 审计监控

seci-log 1.04 日志分析增加 windows 日志分析

本次升级并没有增加新的告警,而是增加了window的日志分析,主要分析了windows的登录日志和操作日志,这两个比较重要的日志类型,其他日志类型可以作为通用的日志收集功能进行存储查询. Windows系统没有自带的功能支持系统日志进行syslog发送,因此需要依赖第三方工具,这里我们推荐一款非常好用的轻量级日志采集模块:Nxlog,在Windows下部署和配置均十分便捷. 注:本人测试过2008 ,2003 server,理论上2012也是可以的,其他环境没有测试,如果有问题欢迎到群里咨询.

seci-log 1.01 发布,日志分析增加了几种告警

上周的版本发布到了osc上后得到很多用户的下载,这给了我们很高的动力,我们在上次五种告警(非上班时间访问,非上班地点访问,密码猜测,账号猜测,账号猜测成功)的基础上有增加了敏感文件操作告警和高危命令操作告警的内容.如需了解之前的告警,请查看上篇文章. 敏感文件操作 敏感文件操作一般是比较危险的操作,如果攻击者经攻击成功,进入了系统,在这种情况下一般要做的事情是清理现场,删除日志增加一些配置等行为,所以针对敏感文件的操作就非常重要了.这种告警的主要特点是,当设备的敏感文件被访问或者修改,则认为是敏

log parser 微软iis 日志分析

Log Parser 2.2 您可以从 Microsoft 下载中心下载 Log Parser. Log Parser 2.2 是一个功能强大的通用工具,它可对基于文本的数据(如日志文件.XML 文件和 CSV 文件)以及 Windows 操作系统上的重要数据源(如事件日志.注册表.文件系统和 Active Directory)进行通用查询.只要告诉 Log Parser 您所需的信息以及您希望如何处理这些信息,它就能很好地完成任务.查询结果可以是基于文本的自定义格式输出,也可以针对更特定的目标

日志分析(六)业务异常日志分解

1.初步分离 业务系统在运行期间会抛出来一些运行期异常日志,监控这些日志,过滤多余其它日志,然后给予相应owner告警就成为异常监控的目标之一. logstash配置如下: input {file { type => "exception" path => "/Users/xxxxx/Documents/xxxxx/apache-tomcat-7.0.53/bin/logs/*.log" } } filter {if ([message] =~ &quo

金融业务系统日志精益化分析

大家好,很高兴有这次机会和大家分享一些日志分析方面的心得.金融业日志管理面临着一些共性的问题,日志易在助力数百家大型企业用户建设日志精益化分析体系的过程中,积累了一些经验.借这次直播的机会,和参与本次直播的诸位金融企业相关技术负责人,梳理业务系统日志分析平台的一些架构及分析思路,算是抛砖引玉,希望今后能和大家就日志分析有更加深入的交流. 本次分享共分三个部分. 第一部分会就金融业日志管理方面的共同面临的问题作出浅谈,供大家了解行业现状,这部分起名为"同是天涯沦落人". 第二部分是我们在

seci-log 1.07 发布 增加资产发现和远程日志分析

日志分析软件 seci-log 1.07发布,增加了资产,端口扫描,并把发现的资产自动添加到资产库中,支持远程日志采集分析.上篇文章http://www.oschina.net/news/63425/seci-log-1-06,有兴趣可以了解一下. 资产扫描 系统支持自动扫描资产,并添加到资产库中,同时扫描系统的对外开放端口.系统资产扫描借助了nmap的扫描能力,nmap在系统中已经集成到系统中了,但nmap在window下依赖winpcap,所以需要手动安装winpcap,文件路径在程序的to

seci-log 1.11 发布,日志分析软件增加 ftpserver 等功能

日志分析软件 seci-log 1.11发布,增加了增加了ftpserver,远程ftp,sftp采集简化配置等功能. 配置文件application.properties做了简化操作. 1.对系统用到的端口采用了默认处理,这样可以不需要在配置端口了. 2.本机ip如果不配置,则获取本机第一块网卡的ip地址. 3.增加了server=syslog|remote|file|ftpserver|snmp的配置,通过减少里面的内容可以启动部分内容,也可以拆分出来进行多进程启动. 取消了file.pro

《UNIX/Linux网络日志分析与流量监控》新书发布

本书从UNIX/Linux系统的原始日志(Raw Log)采集与分析讲起,逐步深入到日志审计与计算机取证环节.书中提供了多个案例,每个案例都以一种生动的记事手法讲述了网络遭到入侵之后,管理人员开展系统取证和恢复的过程,案例分析手法带有故事情节,使读者身临其境地检验自己的应急响应和计算机取证能力. 本书使用的案例都是作者从系统维护和取证工作中总结.筛选出来的,这些内容对提高网络维护水平和事件分析能力有重要的参考价值.如果你关注网络安全,那么书中的案例一定会引起你的共鸣.本书适合有一定经验的UNIX