蓝队-应急响应-日志分析

在日常蓝队进行日志分析的时候，显示将服务器主机日志全都收集起来，然后将日志放到自动识别脚本当中，就能进行自动分析，最后将有异常的ip直接拉黑即可。

下面的工具讲的是日志分析，是在攻击者进行攻击之后才能发现

#日志自动提取脚本——七牛Logkit&观星应急工具

1、七牛Logkit：(Windows&Linux&Mac等)

资料：https://github.com/qiniu/logkit/

全都是cmd命令，使用起来较为不便，但是功能相比较而言全面

2、观星应急工具：（Windows系统日志）

SglabIr_Collector是qax旗下的一款应急响应日志收集工具，能够快速收集服务器日志，

并自动打包，将收集的文件上传观心平台即可自动分析。

因为是exe可执行文件，所以使用起来比较方便。但是只有window版本

#日志自动分析-操作系统-Gscan&LogonTracer

1、Linux 系统 - GScan

https://github.com/grayddq/GScan

2、Windows 系统 -LogonTracer

安装方法一：强烈推荐，因为这里面搭载了很懂工具，不需要太多复杂的环境，特别方便：https://github.com/ffffffff0x/f8x(自动搭建项目)

安装方法二：https://github.com/JPCERTCC/LogonTracer（建议手工安装不要docker安装）

如何安装使用：

https://github.com/JPCERTCC/LogonTracer/wiki/

工具很不错，但是用起来卡，而且自己搭建环境特别麻烦

#日志自动分析-Web-360星图&Goaccess&ALB&Anolog

1、Web - 360星图（IIS/Apache/Nginx）

360星图是比较老的工具，主要是只支持三种插件，但用起来特别舒服，特别是图形化的结果，看起来特别舒服

2、Web - GoAccess（任何自定义日志格式字符串）

https://github.com/allinurl/goaccess

使用手册：

https://goaccess.io/man

输出报告：

goaccess -f /home/wwwlogs/access.log --log-format=COMBINED > /root/aa.html

实时监控：

goaccess -f /home/wwwlogs/access.log --log-format=COMBINED --real-time-html > /home/wwwroot/default/x.html

主要是没有重点，只能监控到网站访问恶意来源，有可视化界面，但是不能进行具体是什么攻击

3、Web - 自写脚本（任何自定义日志格式字符串）

参考：https://github.com/Lucifer1993/ALB

python ALB.py -f F:\access.log -t 200

此工具还行，但是没有可视化，作者用的是正则表达式，然后将日志中的关键词进行提取输出。

4、Web -机器语言（任何自定义日志格式字符串）

https://github.com/Testzero-wz/analog

https://analog.testzero-wz.com/