secilog 1.19 发布 增加了ftp/sftp审计/报表钻取功能等

日志分析软件 SeciLog 1.19发布，增加了ftp/sftp审计，增加报表钻取功能，对大多数报表都可以进行下一级的钻取，最终到日志搜索中，上篇文章1.18，有兴趣可以了解一下。本次升级主要增加以下功能：

ftp审计：

ftp审计的日志样本选用了目前linux系统中最流行的vsftpd软件，在进行审计前，首先要ftp软件生成日志。

Vsftpd的配置文件为：/etc/vsftpd/vsftpd.conf 

配置三个地方产生日志：

1、xferlog_enable=YES 

2、xferlog_file=/var/log/xferlog 

3、dual_log_enable=YES

配置完成后Vsftpd会产生两个日志文件，一个是/var/log/vsftpd.log记录登录认证日志，另一个是/var/log/xferlog，记录了上传下载日志，系统目前主要精确分析vsftpd.log日志。

分析后的结果如下，对ftp命令的大多数进行了解析，这样更方面的可以看到ftp的请求过程。

sftp审计：

Sftp分析了目前常用的sshd自带的sftp协议日志。

配置：#vi /etc/ssh/sshd_config

修改 Subsystem sftp /usr/libexec/openssh/sftp-server 

如下Subsystem sftp internal-sftp -l INFO -f local0

去掉下面一行的注释 #LogLevel INFO

修改syslog配置 vi /etc/syslog.conf

# 增加一行

local0.*                    @ip

同时修改message中的信息，不然会重复记录

*.info;mail.none;authpriv.none;cron.none         /var/log/messages改为下面的内容

*.info;mail.none;authpriv.none;cron.none;local0.none     /var/log/messages

/etc/init.d/syslog restart 

/etc/init.d/sshd restart 

配置完成重启后会生成sftp.log日志，当然如果配置远程机器，就直接把日志发给远程的采集器了。

分析后的结果如下，对sftp命令的大多数进行了解析，这样更方面的可以看到sftp的请求过程。

web报表功能

增加了web报表钻取功能对前面的四个报表做了二级报表处理，然后对其他报表做了链接到日志搜索的页面。看下面的图，pv和独立ip，状态码和ip流量统计都也钻取到第二页的报表，然后根据第二页的报表还可以最终钻取到日志搜索页面，这样就知道报表中的数据是怎么来的。

ftp报表

这次增加了ftp报表功能。可以对ftp最近的行为进行统计，同样点击报表中的数据可以钻取到日志搜索页面，更方便的进行数据查询。对最下面的具体下载内容，进行了二次钻取，得到文件的下载趋势。

ftp中具体文件的下载趋势。

上个版本提到的对于squid日志的日志分析，只需要把squid日志保存成apache的日志格式，系统就可以正常分析了。

本次升级的内容主要有这么多。下个版本主要会增加iis的w3c格式的日志分析，增加inotify日志分析，增加会话查询，包括ftp/sftp会话，windows和linux的操作会话查询。同时会增加自定义报表的功能。