6、应急响应-日志自动提取&自动分析&ELK&Logkit&LogonTracer&Anolog等

用途：个人学习笔记，欢迎指正

目录

背景:

一、日志自动提取-七牛Logki&观星应急工具

1、七牛Logkit: (支持Windows&Linux&Mac等)

2、观星应急工具(只支持Windows)

二、日志自动分析-Web-360星图&Goaccess&ALB&Anolog

1、Web-360星图(支持IIS/Apache/Nginx)

2、Web-GoAccess（任何自定义日志格式字符串）

3、Web-自写脚本ALB（支持任何自定义日志格式字符串）

4、Web-机器语言analog（支持任何自定义日志格式字符串）

三、Windows系统-日志自动分析-LogonTracer  推荐

四、日志综合平台-Elasisearch+Filebeat+Redis+Logstash+Kibana 

背景:

由于日志文件数量过多，内容也多，人工分析过于繁琐，此时日志提取工具和日志自动分析工具的使用就会省时省力，同时也能为人工分析提供参考价值，提高效率。

一、日志自动提取-七牛Logki&观星应急工具

1、七牛Logkit: (支持Windows&Linux&Mac等)

https://github.com/qiniu/logkit/

2、观星应急工具(只支持Windows)

二、日志自动分析-Web-360星图&Goaccess&ALB&Anolog

1、Web-360星图(支持IIS/Apache/Nginx) 

百度可搜索下载，config.ini配置文件：                配置好日志文件所在路径

2、Web-GoAccess（任何自定义日志格式字符串）

工具：  https://github.com/allinurl/goaccess
使用手册：  https://goaccess.io/man
输出报告：
goaccess -f /home/wwwlogs/access.log --log-format=COMBINED > /root/aa.html
实时监控：
goaccess -f /home/wwwlogs/access.log --log-format=COMBINED --real-time-html /home/wwwroot/default/x.html 

3、Web-GitHub用户脚本ALB（支持任何自定义日志格式字符串）

脚本和使用：https:/github.com/Lucifer1993/ALB
例：python ALB.py -f F:\access.log -t 200

4、Web-机器语言analog（支持任何自定义日志格式字符串）

脚本：https://github.com/Testzero-wz/analog
使用参考：https://analog.testzero-wz.com/

三、Windows系统ELK-日志自动分析-LogonTracer  推荐

https:/github.com/ffffffffOx/f8x（自动搭建项目）
https://github.com/JPCERTCC/LogonTracer
如何安装使用：
https://github.com/JPCERTCC/LogonTracer/wiki/

Docker安装：
https://www.freebuf.com/sectool/219786.html
docker pull jpcertcc/docker-logontracer
docker run
--detach
-publish=7474:7474-publish=7687:7687-publish=8080:8080\
-e LTHOSTNAME=你的ip\
jpcertcc/docker-logontracer

手工安装：
1.下载并解压neo4j:tar-zvxf neo4j-community-4.2.1-unix.tar
2.安装java11环境：sudo yum install java-11-openjdk-y
3.修改neo4j配置保证外部访问：
dbms.connector.bolt.listen_address=0.0.0.0:7687
dbms.connector.http.listen_address=0.0.0.0:7474
./bin/neo4j console
4.下载LogonTracer并安装库：
git clone https://github.com/JPCERTCC/LogonTracer.git
pip3 install -r requirements.txt
5.启动LogonTracer并导入日志文件分析
python3 logontracer.py -r -o [PORT] -u [USERNAME] -p [PASSWORD] -s [IP]
python3 logontracer.py -r -o 8080 -u neo4j -p xiaodi -s 47.98.99.126
python3 logontracer.py -e [EVTX文件] -z [时区] -u [用户名] -p [密码] -s [lP地址]
python3 logontracer.py -e Security.evtx -z -13 -u neo4i -p xiaodi -s 127.0.0.1

四、日志综合平台-Elasisearch+Filebeat+Redis+Logstash+Kibana 

Elasticsearch: 用于存储收集到的日志信息；
Logstash: 用于收集日志转发给Elasticsearch;
Kibana: 通过Web端的可视化界面来查看日志。

企业工作人员一般喜欢搭建日志分析系统

快速搭建参考：5分钟快速安装ELK（一）

参考：Filebeat+Redis+Logstash+Elasticsearch+Kibana搭建日志采集分析系统_filebeat+redis+logstash+kibana-CSDN博客