ELK日志分析实战

最新推荐文章于 2025-06-14 09:13:24 发布
原创 最新推荐文章于 2025-06-14 09:13:24 发布 · 579 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#elk

ELK日志分析实战:从异常流量定位提权攻击

摘要:本文通过模拟真实攻防场景,结合ELK技术栈(Elasticsearch+Logstash+Kibana),演示如何从海量服务器日志中快速定位异常流量并追踪提权攻击行为。包含完整的日志收集方案、攻击特征分析及可视化告警实践。

一、环境准备与数据采集

1.1 实验组件

  • 攻击机:Kali Linux 2023
  • 靶机:CentOS 7.6(暴露Web服务)
  • ELK集群:Elasticsearch 8.5 + Logstash 8.5 + Kibana 8.5
  • 数据采集器:Filebeat 8.5

1.2 日志收集配置

通过Filebeat采集关键日志源:

# filebeat.yml
filebeat.inputs:
- type: filestream
  id: nginx-access
  paths:
    - /var/log/nginx/access.log
  fields:
    log_type: "nginx_access"

- type: filestream
  id: syslog
  paths:
    - /var/log/secure
    - /var/log/messages
  fields:
    log_type: "system"

Logstash添加安全日志解析规则:

filter {
  if [fields][log_type] == "system" {
    grok {
      match => { "message" => "%{SYSLOGTIMESTAMP:timestamp} %{SYSLOGHOST:hostname} %{DATA:process}\[%{POSINT:pid}\]: %{GREEDYDATA:message}" }
    }
    date {
      match => [ "timestamp", "MMM  d HH:mm:ss", "MMM dd HH:mm:ss" ]
    }
  }
}

二、异常流量特征分析

2.1 高频404错误(漏洞探测)

在Kibana中创建统计视图:

{
  "query": {
    "bool": {
      "must": [
        { "match": { "response_code": "404" } },
        { "range": { "@timestamp": { "gte": "now-15m" } } }
      ]
    }
  },
  "aggs": {
    "src_ip": {
      "terms": { "field": "source.ip.keyword", "size": 10 }
    }
  }
}

攻击特征:同一IP在5分钟内触发超过100次404响应,且请求路径包含/wp-admin/phpmyadmin等敏感路径。

2.2 Webshell上传行为识别

Nginx日志关键字段过滤:

filter {
  if [request] =~ "(\.php|\.jsp|\.war)(\?|$)" {
    mutate { add_tag => [ "webshell_upload" ] }
  }
}

三、提权攻击行为追踪

3.1 可疑特权操作

在系统日志中监控sudo提权:

process.name: "sudo" AND message: ("/bin/bash" OR "chmod +s" OR "passwd")

3.2 异常用户创建检测

通过audit日志捕获用户变更:

{
  "query": {
    "match": {
      "message": {
        "query": "useradd|usermod",
        "operator": "OR"
      }
    }
  }
}

3.3 SUID权限异常变更

设置定时检测任务:

*/10 * * * * find / -perm -4000 -type f -exec ls -l {} \; | diff /etc/suid.list -

四、攻击场景复现与分析

4.1 攻击链还原

  1. 攻击者通过/manager/html爆破进入Tomcat后台
  2. 上传包含反弹Shell的WAR包
  3. 通过sudo -l探测可用特权
  4. 利用CVE-2021-3156进行本地提权

4.2 日志关联分析

在Kibana中构建关联视图:

{
  "query": {
    "bool": {
      "must": [
        { "match": { "source.ip": "192.168.1.100" } },
        { "range": { "@timestamp": { "gte": "now-30m" } } }
      ],
      "should": [
        { "match": { "tags": "webshell_upload" } },
        { "match": { "event.type": "privilege_escalation" } }
      ]
    }
  }
}

五、防御加固建议

  1. 实时告警配置:使用ElastAlert对关键事件设置阈值告警
  2. 日志存储优化:敏感操作日志单独存储,保留至少180天
  3. 权限最小化:定期审计sudoers文件和SUID/SGID权限
  4. 进程监控:使用Auditd记录所有特权命令执行

附录:常用安全分析语句

// 检测密码暴力破解
event.category: "authentication" AND event.outcome: "failure" | stats count by source.ip

// 查找短时间内多主机登录
user.name: "root" | timechart span=10m count by host.name
ELK日志采集和查询方法
userwyh的专栏
01-27 1万+
我是个目录回顾logstash日志采集codec插件grok插件完整的配置文件kibana操作总结 回顾 前两篇文章简单的介绍了JAVA通过代码如何使用MDC进行日志打印,去查看log4j MDC用户操作日志追踪配置,以及ELK平台的搭建,去查看log4j MDC用户操作日志追踪配置。接下来将结合实际案例,简单介绍生产服务器的日志如何被logstash进行采集,并统一汇总,使得我们能够快速、方便、...
ELK实战(最详细)
乄bluefox - 优快云博客
01-07 2488
使用logstash对MySQL和ElasticSearch做数据同步
ELK 日志分析系统深度解析与实战指南
最新发布
2501_91421610的博客
06-14 1234
ELK 日志分析系统通过 "采集 - 处理 - 存储 - 可视化" 的完整架构,为企业提供了从海量日志中提取价值的能力。从 Elasticsearch 的分布式索引技术,到 Logstash 的灵活数据处理管道,再到 Kibana 的交互式可视化界面,三大组件协同工作,解决了传统日志管理的痛点。通过合理的集群部署、参数调优与生态扩展,ELK 能够满足企业级日志分析的各种场景需求,成为数字化转型中不可或缺的运维工具。
【大数据开发必看】ELK入门及实战
qq_42397330的博客
05-27 1397
ELK 学习笔记 很多人不知道ELK是什么,先说一下ELK指什么,E表示Elasticsearch,L表示Logstash,K表示Kibana 在发展的过程中,又有了Beats的加入,这个时候就不再使用ELK去命名,而是Elastic Stack 先简单介绍一下他们的作用分别是什么,这样我们才能知道为什么要学习这些技术 Elasticsearch:分布式搜索引擎,还有存储数据 Logstash:收集日志,分析和处理日志 Kibana:提供web页面,展示数据分析的结果 Beats:数据采集,它出现之
ELK实战
Z_xingwei的博客
12-23 723
elasticsearch:负责数据存储及检索Elasticsearch简介:1、Elasticsearch使用Java语言开发,是建立在全文搜索引擎Apache Lucene基础之上的搜索引擎,https://lucene.apache.org。2、是一个高度可扩展的开源全文搜索和分析引擎,可实现数据的近实时(Near Real Time、NRT)全文检索。3、支持分布式以实现集群高可用。4、高性能、可以处理大规模业务数据。
Spring Cloud集成ELK完成日志收集实战(elasticsearch、logstash、kibana)
zjx2016的博客
02-14 4364
简介 对于日志来说,最常见的需求就是收集、存储、查询、展示,开源社区正好有相对应的开源项目:logstash(收集)、elasticsearch(存储+搜索)、kibana(展示),我们将这三个组合起来的技术称之为ELK,所以说ELK指的是Elasticsearch、Logstash、Kibana技术栈的结合。ELK对外作为一个日志管理系统的开源方案,能够可靠和安全地从任何格式的任何来源获取数据,...
ELK 企业实战7
m0_61863878的博客
07-20 744
注:以下为环境所需所有服务器,配置为测试环境配置。安装软件主机名IP地址系统版本配置Elk2核4GEs12核3GEs22核3GKafka11核2GKafka21核2GKafka31核2GFilebeat。
ELK日志采集实战教程
01-27
我们可以使用远程ELK集群指向我们的日志文件,或者将日志推入,这在将所有应用程序部署到云中时基本上是必需的。在logstash中创建不同的索引模式。通过使用微服务,我们已经能够克服许多遗留问题,并且它允许我们...
ELK企业日志分析系统部署实战!理论+实战
01-09
文章目录前言一:理论部分1.1:什么是ELK日志分析系统?有什么作用?1.2:什么原因催生了ELK日志分析系统?1.3:ELK日志分析系统的开源工具解析1.3.1:Logstash解析1.3.2:ElasticSearch解析1.3.3:Kiabana解析1.4:...
企业运维实战 ELK日志分析平台 Kinaba (Kibana安装、Kinaba安全认证、Kinaba监测)
08-11
企业运维实战 ELK 日志分析平台 Kinaba 在企业运维实战中,ELK 日志分析平台 Kinaba 是一个非常重要的组件,它由三部分组成:Elasticsearch、Logstash 和 Kibana。Kinaba 是 Kibana 的中文名称,它是 ELK 栈中最...
通俗易懂【ELK】企业项目实战
月牙坠的博客
05-30 1140
ELK 是由 Elasticsearch、Logstash 和 Kibana 组成的开源日志分析系统,能够实现日志收集、存储、分析和可视化。 Elasticsearch 是分布式搜索引擎,支持实时数据检索和分析;Logstash 负责日志收集、过滤和传输;Kibana 提供数据可视化界面。ELK 常见架构包括简单单机模式、引入消息队列(如 Kafka)的高可用模式,以及结合 Filebeat 的大规模集群方案。 本文重点介绍 ELK + Filebeat + Kafka + ZooKeeper 的大数据日志
使用docker搭建ELK进行日志收集
weixin_53142722的博客
03-14 3154
手把手教你使用docker搭建ELK日志收集,集成springBoot,为es、kibana设置登录密码
ELK技术1:EFK日志收集系统概述
xiaoleinb的博客
01-18 1958
01 EFK日志收集系统概述 01 EFK日志收集系统概述 1.ELK诞生的背景 1.1 没有ELK分析日志前 1.2 使用ELK分析日志后 2.ELK技术债是什么 2.1 什么是ELK 2.2 什么是EFK 2.3 什么是ELFK 2.4 EFK收集哪些日志 02 Elasticsearch入门 1.ES基本介绍 1.1 ES是什么 1.2 ES主要功能 1.3 ES相关术语 1.3.1 文档 Document 1.3.2 索..
ELK搭建以及使用教程(多pipiline)
weixin_38405770的博客
11-05 1572
ELK搭建
ELK日志分析平台实战-----(二)-----logstash数据采集
xrt0211的博客
06-14 1489
ELK日志分析平台实战-----(二)-----logstash数据采集 1.logstash简介 Logstash是一个开源的服务器端数据处理管道。 logstash拥有200多个插件,能够同时从多个来源采集数据,转换数据,然后将数据发送到您最喜欢的 “存储库” 中。(大多都是 Elasticsearch。) Logstash管道有两个必需的元素,输入和输出,以及一个可选元素过滤器。 输入:采集各种样式、大小和来源的数据 4. Logstash 支持各种输入选择 ,同时从众多常用来源捕捉事件。 5.
ELK日志管理实现的3种常见方法
Q先生
03-14 1450
通过将node节点的/var/log/pods目录挂载给以DaemonSet方式部署的logstash来读取容器日志,并将日志吐给kafka并分布写入Zookeeper数据库.再使用logstash将Zookeeper中的数据写入ES,并通过kibana将数据进行展示.标准日志和错误日志:标准日志 -->/dev/stdout错误日志 ----> /dev/stderr。
HEELK项目安装与部署指南:构建高级威胁狩猎平台
gitblog_00075的博客
06-10 255
HEELK项目安装与部署指南:构建高级威胁狩猎平台 前言 HEELK(The Hunting ELK)是一个基于ELK Stack(Elasticsearch、Logstash、Kibana)构建的高级威胁狩猎平台,集成了Kafka、KSQL、Spark等多种组件,为安全分析师提供了强大的日志分析、实时数据处理和威胁检测能力。本文将详细介绍HEELK的安装部署过程,帮助安全团队快速搭建自己的威胁狩...
ELK搭建教程(全过程)
热门推荐
谷神通
11-07 9万+
1.服务器 使用阿里云服务器(方便),抢占式实例(便宜),4核16G,系统选择centos7.4/64位(好用)。购买地址:https://ecs-buy.aliyun.com/ 我们只是测试学习使用,把端口权限全开就行(不然外网访问不了),安全组配置那里添加如下: 2.下载ELK的包: 下载地址:https://www.elastic.co/downloads 下载最新版的、l...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值