Vulhub日志收集:ELK栈安全日志分析
【免费下载链接】vulhub 基于 Docker-Compose 的预构建易受攻击环境。 
项目地址: https://gitcode.com/GitHub_Trending/vu/vulhub
概述
在网络安全研究和渗透测试中,日志分析是发现攻击痕迹、追踪入侵行为的关键环节。Vulhub作为预构建的漏洞环境集合,结合ELK(Elasticsearch、Logstash、Kibana)技术栈,为安全研究人员提供了强大的日志收集与分析能力。本文将深入探讨如何在Vulhub环境中搭建ELK日志分析平台,实现对安全事件的实时监控与分析。
ELK技术栈架构
核心组件功能
| 组件 | 功能描述 | 在安全分析中的作用 |
|---|---|---|
| Elasticsearch | 分布式搜索和分析引擎 | 存储和索引安全日志数据 |
| Logstash | 数据处理管道 | 收集、解析和丰富日志数据 |
| Kibana | 数据可视化平台 | 展示安全仪表板和报表 |
Vulhub环境ELK集成方案
基础Docker Compose配置
version: '3.8'
services:
elasticsearch:
image: docker.elastic.co/elasticsearch/elasticsearch:7.17.0
environment:
- discovery.type=single-node
- xpack.security.enabled=false
ports:
- "9200:9200"
volumes:
- esdata:/usr/share/elasticsearch/data
logstash:
image: docker.elastic.co/logstash/logstash:7.17.0
ports:
- "5044:5044"
- "9600:9600"
volumes:
- ./logstash/config:/usr/share/logstash/config
- ./logstash/pipeline:/usr/share/logstash/pipeline
depends_on:
- elasticsearch
kibana:
image: docker.elastic.co/kibana/kibana:7.17.0
ports:
- "5601:5601"
environment:
- ELASTICSEARCH_HOSTS=http://elasticsearch:9200
depends_on:
- elasticsearch
volumes:
esdata:
Logstash安全日志处理配置
input {
beats {
port => 5044
}
file {
path => "/var/log/vulhub/*.log"
start_position => "beginning"
}
}
filter {
# 解析Apache访问日志
if [type] == "apache_access" {
grok {
match => { "message" => "%{COMBINEDAPACHELOG}" }
}
date {
match => [ "timestamp", "dd/MMM/yyyy:HH:mm:ss Z" ]
}
}
# 解析错误日志
if [type] == "error" {
grok {
match => { "message" => "%{TIMESTAMP_ISO8601:timestamp} %{LOGLEVEL:loglevel} %{GREEDYDATA:message}" }
}
}
# 添加安全相关标签 【免费下载链接】vulhub 基于 Docker-Compose 的预构建易受攻击环境。 项目地址: https://gitcode.com/GitHub_Trending/vu/vulhub
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
