日志分析软件 SeciLog 1.19发布,增加了ftp/sftp审计,增加报表钻取功能,对大多数报表都可以进行下一级的钻取,最终到日志搜索中,上篇文章1.18,有兴趣可以了解一下。本次升级主要增加以下功能: ftp审计: ftp审计的日志样本选用了目前linux系统中最流行的vsftpd软件,在进行审计前,首先要ftp软件生成日志。 Vsftpd的配置文件为:/etc/vsftpd/vsftpd.conf 配置三个地方产生日志: 1、xferlog_enable=YES 2、xferlog_file=/var/log/xferlog 3、dual_log_enable=YES 配置完成后Vsftpd会产生两个日志文件,一个是/var/log/vsftpd.log记录登录认证日志,另一个是/var/log/xferlog,记录了上传下载日志,系统目前主要精确分析vsftpd.log日志。 分析后的结果如下,对ftp命令的大多数进行了解析,这样更方面的可以看到ftp的请求过程。 sftp审计: Sftp分析了目前常用的sshd自带的sftp协议日志。 配置:#vi /etc/ssh/sshd_config 修改 Subsystem sftp /usr/libexec/openssh/sftp-server 如下Subsystem sftp internal-sftp -l INFO -f local0 去掉下面一行的注释 #LogLevel INFO 修改syslog配置 vi /etc/syslog.conf # 增加一行 local0.* @ip 同时修改message中的信息,不然会重复记录 *.info;mail.none;authpriv.none;cron.none /var/log/messages改为下面的内容 *.info;mail.none;authpriv.none;cron.none;local0.none /var/log/messages /etc/init.d/syslog restart /etc/init.d/sshd restart 配置完成重启后会生成sftp.log日志,当然如果配置远程机器,就直接把日志发给远程的采集器了。 分析后的结果如下,对sftp命令的大多数进行了解析,这样更方面的可以看到sftp的请求过程。 web报表功能 增加了web报表钻取功能对前面的四个报表做了二级报表处理,然后对其他报表做了链接到日志搜索的页面。看下面的图,pv和独立ip,状态码和ip流量统计都也钻取到第二页的报表,然后根据第二页的报表还可以最终钻取到日志搜索页面,这样就知道报表中的数据是怎么来的。 ftp报表 这次增加了ftp报表功能。可以对ftp最近的行为进行统计,同样点击报表中的数据可以钻取到日志搜索页面,更方便的进行数据查询。对最下面的具体下载内容,进行了二次钻取,得到文件的下载趋势。 ftp中具体文件的下载趋势。 上个版本提到的对于squid日志的日志分析,只需要把squid日志保存成apache的日志格式,系统就可以正常分析了。 本次升级的内容主要有这么多。下个版本主要会增加iis的w3c格式的日志分析,增加inotify日志分析,增加会话查询,包括ftp/sftp会话,windows和linux的操作会话查询。同时会增加自定义报表的功能。 secilog 1.19 发布 增加了ftp/sftp审计/报表钻取功能等下载地址
