secilog 1.20 发布 增加了inotify,iis日志审计等

日志分析软件 SeciLog 1.20发布，增加了inotify,iis日志审计，防火墙报表，增加了整体报表数据，日志搜索增加了通配符查询，正则表达式查询，事件排序等功能，上篇文章1.19，有兴趣可以了解一下。本次升级主要增加以下功能：

整合inotify功能

 Inotify 是一个 Linux特性，它监控文件系统操作，比如读取、写入和创建。Inotify 反应灵敏，用法非常简单，并且比 cron 任务的繁忙轮询高效得多。多用在主机防篡改，网页防篡改中，本功能是在inotify-tools的基础上增加了syslog的支持，这样更方便的整合到系统中，源代码在https://github.com/zhulinu/SeciInotify，需要的自行下载编译。

编译好后执行nohup ./inotifywait -c -rme create,modify,delete,move,attrib,delete_self /home /etc &

这样就对指定的目录/home /etc进行监控，这两个目录中文件的任何变化都会发送到日志服务器中。

注意：由于inotify非常灵敏，所以最好监控文件不经常变化的目录，如果目录经常变化，会导致监控内容过多，影响监控效果。

iis审计

iis在6.0中默认的格式是w3c格式，和apache的格式还不太一样。IIS日志是需要借助nxlog来完成的。nxlog的配置详见用户手册。由于默认的配置中没有流量和来源信息，而这两个信息比较重要，所以需要对这两个参加进行添加，在IIS管理器左边菜单的属性中添加。在属性对话框中的网站->启用日志记录->属性->高级中把发送的字节数和引用站点打上勾。然后重启IIS。

增加了防火墙报表

整体报表

整体报表增加了趋势图和日志源排行

日志搜索增加了通配符支持和正则表达式的支持

同时增加了日志时间倒序功能。

同时修改了几个bug。

由于时间关系和计划调整，本次自定义报表和会话查询还没完成，放到下个版本完成。下个版本还会增加系统监控等功能。