1 安全运营
1.1 问题
1)什么是安全运营
2)为什么需要安全运营
3)安全运营工程师必备技能
4)SOC 是什么
5)安全运营工作流程是什么
1.2 步骤
1)什么是安全运营
在安全运维的基础上,高效持续的提升企业安全防御能力,实现可视化监控、自主防御,能够发现安全问题、分析安全问题、解决安全问题。
2)为什么需要安全运营
预防网络攻击,保障内网安全,数据安全,满足国家等保护要求
3)安全运营工程师必备技能
设备运维、安全监测、漏洞管理、安全加固、渗透测试、应急响应
4)SOC 是什么
安全运营中心
5)安全运营工作流程是什么
资产运营、日常通报预警、安全设备运营、安全检测分析、渗透测试、安全加固、漏洞管理、应急响应。
2 ELK Stack
2.1 问题
1)ELK Stack 是什么
2)Elasticsearch 是什么
3)Logstash 是什么
4)Kibana 是什么
2.2 步骤
1)ELK Stack 是什么
开源日志分析和管理平台,也称 Elastic Stack。
2)Elasticsearch 是什么
开源数据收集引擎,提供数据搜集、分析、存储数据三大功能。
3)Logstash 是什么
是一个开源数据处理管道,主要功能:采集数据、处理数据、输出数据。
4)Kibana 是什么
Kibana 是一个免费开放的 WEB 用户界面,能够对 Elasticsearch 数据进行可视化展示,能够实时生成报表,方便展示和查看。
3 ELK 日志分析系统
3.1 问题
本例要求在部署好的 ELK 环境中完成日志收集,日志可视化展示
1)一台 ELK 服务器,用于收集日志,分析日志,可视化展示日志
2)一台 log-creat 服务器部署 DNS 服务,产生 DNS 查询日志
3)一台 Windows server 2012 , 模拟运维人员主机
3.2 步骤
步骤一:登录 Win-2012 ,通过 Win-2012 远程管理 ELK 和 log-creat
1)通过物理机远程 Win-2012 主机
因为公网 IP 每次重启实验,都会随机更换,务必确认公网 IP、确认登录用户账号、确认登录密码,如图 - 1 所示。默认登录用户为 college,登录密码:360College。
图 - 1
2)Win-2012 上安装 MobaXterm
在 Win-2012 上安装 MobaXterm 或其他远程工具,方便管理。使用 MobaXterm 远程登录 ELK 服务器和 log-creat(DNS) 服务器,进行远程操作管理,如图 - 2 所示。
图 - 2
步骤二:登录 ELK 服务器、配置 logstash、启动 ELK 服务
1)使用 MobaXterm 远程登录 ELK 服务器进行远程操作管理
用户名 college, 密码 360College,登录成功后,执行 sudo -i 切换到 root 用户。
[college]$ sudo -i // 切换管理员用户
[sudo]Password for college: // 输入密码
[root]#
2)在 ELK 服务器上创建自定义 logstash 配置文件 bind.conf
[root] cp /etc/logstash/logstash-sample.conf /etc/logstash/conf.d/bind.conf
3)在 ELK 服务器上编辑 logstash 的配置文件 bind.conf
配置 logstash 的采集日志的输入端口,tcp 5144;配置采集日志的类型为系统日志;配置 logstash 将日志输出给 elasticsearch;输出的日志索引名为 dns + 日期时间。
如图 - 3 所示。
图 - 3
4)启动 ELK 服务
[root] system start logstash elasticsearch kibana // 启动服务
5)验证启动的端口
Logstash 的端口是 5144;Elasticsearch 的端口是 9200;Kibana 的端口是 5601。
步骤三:登录 log-creat 服务器、配置 dns、重启 rsyslog
1)登录 log-creat 服务器(DNS)
用户名 college,密码 360College,登录成功后,执行 sudo -i 切换到 root 用户。
如图 - 4 所示。
图 - 4
2)检查 DNS 查询日志的配置文件
查询日志发送至 rsyslog 的 local5 通道
[root] vim /etc/named.conf
3)打开 rsyslog.conf 的配置文件,在下面加入一行配置
将 syslog 日志发送给 ELK 服务器中的 logstash,将日志在本地存储一份,发送给 ELK 的 logstash 一份。
[root] vim /etc/rsyslog.conf
local5.* @@ 192.168.0.109:5144 // 将日志发送至 ELK 的服务器,端口号 5144
4)重启 rsyslog,开启 dns 服务
1. \[root\] systemctl restart rsyslog2. \[root\] systelctl start named
步骤四:产生 dns 日志
1)产生 dns 日志
1. \[root\] dig baidu.com @127.0.0.1
2)执行 cat /var/log/dns 查看本地是否产生 dns 日志
如图 - 5 所示。
图 - 5
步骤五:登录 Kibana,查看是有日志
1)在 Win-2012 中使用浏览器访问 Kibana
kibana 的端口号是 5601;Kibana 的访问地址就是 ELK 服务器的 IP 地址,如http://192.168.0.109:5601。
点击 management->index patterns ->Create index patterns,如图 - 6 所示。
图 - 6
2)在 Kibana 中查看采集到的日志
找到 dns-2021.12.07,然后选择这个日志进行分析,选择索引,输入索引名 dns,点击 next step,如图 - 7 所示。
图 - 7
3)选择时间过滤,并创建索引模式
如图 - 8 所示。
图 - 8
4)多产生几次 dns 日志
1. \[root\] dig baidu.com @127.0.0.12. \[root\] dig taobao.com @127.0.0.13. \[root\] dig mod.gov.cn @127.0.0.14. \[root\] dig qq.com @127.0.0.1
5)点 Discover,查看日志成功
如图 - 9 所示。
图 - 9
步骤六:创建可视化图形
1)点击 kibana 上 Visualize
如图 - 10 所示。
图 - 10
3)创建可视化图形,创建饼图
如图 - 11 所示。
图 - 11
4)创建可视化图形 ,选择索引
如图 - 12 所示。
图 - 12
5)创建可视化图形 ,选择按片来分割
如图 - 13 所示。
图 - 13
6)创建可视化图形 ,显示聚合图形
如图 - 14 所示。
图 - 14
https://tts.tmooc.cn/ttsPage/NTD/NTDTN202109/RESPONSE/DAY01/CASE/01/index.html
若有收获,就点个赞吧
0 人点赞
