modsecurity日志解析并存到mysql数据库

最新推荐文章于 2024-07-22 07:00:00 发布
原创 最新推荐文章于 2024-07-22 07:00:00 发布 · 2k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #modsecurity

本文介绍了一个Python脚本,用于解析ModSecurity日志并将其存储到MySQL数据库中,同时自动清理旧日志,有效提升日志管理和安全监控效率。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Github:https://github.com/bestmarkma/modsecurity_log_mysql

设置modsecurity_log_mysql.py定时任务,实现modsecurity日志解析并存到mysql数据库,并自动清除旧日志。

python代码(modsecurity_log_mysql.py):

#!/usr/bin/python3
# -*- coding: UTF-8 -*-

import re
import pymysql
import datetime


# 打开数据库连接
db = pymysql.Connect(
  host='127.0.0.1',
  port=3306,
  user='waf',
  passwd='waf',
  db='waf',
  charset='utf8'
)

# 使用cursor()方法获取操作游标
cursor = db.cursor()

#打开日志
f = open('/var/log/modsec_audit.log')
log = f.read()

it = re.finditer(r"---[\da-zA-Z]{8}---A--[\s\S]*?---[\da-zA-Z]{8}---Z--",log)
for match in it:
    #m_original
    m_original = match.group()

    #日期时间
    m_datetime = re.search(r"\d\d/[a-zA-Z]{3}/\d{4}:\d{2}:\d{2}:\d{2}", match.group()).group()
    m_datetime = datetime.datetime.strptime(m_datetime, "%d/%b/%Y:%H:%M:%S").strftime("%Y-%m-%d %H:%M:%S")

    # host
    m_host = re.search(r"Host:.*", match.group()).group().replace('Host: ','')

    # id
    m_id = []
    it_kid = re.finditer('\[id\s"\d+?"\]', match.group())
    for match_kid in it_kid:
        m_id.append(match_kid.group().replace('[id "','').replace('"]',''))

    # hostname
    m_hostname = []
    it_kid = re.finditer('\[hostname\s".*?"\]', match.group())
    for match_kid in it_kid:
        m_hostname.append(match_kid.group().replace('[hostname "','').replace('"]',''))

    # uri
    m_uri = []
    it_kid = re.finditer('\[uri\s".*?"\]', match.group())
    for match_kid in it_kid:
        m_uri.append(match_kid.group().replace('[uri "','').replace('"]',''))
        
    # data
    m_data = []
    it_kid = re.finditer('\[data\s".*?"\]', match.group())
    for match_kid in it_kid:
        m_data.append(match_kid.group().replace('[data "','').replace('"]',''))

    # msg
    m_msg = []
    it_kid = re.finditer('\[msg\s".*?"\]', match.group())
    for match_kid in it_kid:
        m_msg.append(match_kid.group().replace('[msg "','').replace('"]',''))

    for index in range(len(m_id)):

        # SQL 插入语句
        sql = "INSERT INTO `log` (`id`, `m_datetime`, `m_host`, `m_id`, `m_hostname`, `m_uri`, `m_data`, `m_msg`, `m_original`) VALUES (NULL, %s, %s, %s, %s, %s, %s, %s, %s)"

        #print("sql:" + sql)

        try:
            # 执行sql语句
            cursor.execute(sql,(m_datetime, m_host, m_id[index], m_hostname[index], m_uri[index],m_data[index], m_msg[index], m_original))
            # 提交到数据库执行
            db.commit()
        except:
            # 发生错误时回滚
            print("发生错误sql:" + sql % (m_datetime, m_host, m_id[index], m_hostname[index], m_uri[index],m_data[index], m_msg[index], m_original))
            db.rollback()

# 关闭数据库连接
db.close()

# 清空日志
f.close()
f = open('/var/log/modsec_audit.log','w')
f.write('')
f.close()

数据库sql:

CREATE TABLE `log` (
  `id` int(11) UNSIGNED NOT NULL,
  `m_datetime` datetime DEFAULT NULL,
  `m_host` varchar(100) DEFAULT NULL,
  `m_id` varchar(20) DEFAULT NULL,
  `m_hostname` varchar(100) DEFAULT NULL,
  `m_uri` varchar(200) DEFAULT NULL,
  `m_data` varchar(2000) NOT NULL,
  `m_msg` varchar(1000) DEFAULT NULL,
  `m_original` text
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

 

modsecurity
数字人生
09-10 230
上述示例演示了如何在C语言中初始化ModSecurity、加载规则并处理基本事务。根据实际需要,你可以扩展和修改代码,以处理更多复杂的请求和响应。需要注意学习更多高级主题,如自定义规则集、事件处理和日志记录等,可以参考ModSecurity的官方文档和源代码。ModSecurity 是一个开源 Web 应用防火墙 (WAF),通常用于检测和阻断通过 HTTP 流量的攻击。以下是一些 ModSecurity 的 API 函数,它们通常需要用 C 语言编写。
Centos 7 对Openresty的安装以及基础使用并连接操作其他主机mysql数据库、redis数据库、并应用内部缓存
qq_15145603的博客
08-05 2375
我用的图形化工具,不是图形化工具用FinalShell也差不多,cd /etc不是图形化工具还不用FinalShell就只能慢慢改了(下面是打开文件指令,用图形化直接双击可以编辑)vi profile翻到配置的最下面是定义环境变量的将加入其中的作用是将当前的PATH变量导出,使其对其他进程和子进程可见。这样做是为了确保新添加的路径在整个系统中生效。有时候你会看到别人可能写的当你使用时,$PATH表示先获取当前的PATH值,然后将添加到PATH值的末尾。这样做可以保留原有的PATH。
CentOS下Nginx+ModSecurity(3.0.x)安装及日志保存
ilqgffvramusm2864的博客
07-29 4300
目录CentOS下Nginx+ModSecurity(3.0.x)安装及配置WAF规则一、安装相关依赖工具二、安装Modsecurity三、安装nginx与ModSecurity-nginx四、测试效果五、配置WAF规则六、重新加载Nginx测试效果七、其他补充ModSecurity日志保存至MySQL数据库(通过Logstash)二、配置JDK四、安装logstash-output-jdbc五、创建日志同步配置文件六、创建数据库七、配置ModSecurity记录审计日志八、同步日志九、最后工作(可选) C
logstash plug mysql_ModSecurity日志保存至MySQL数据库(通过Logstash)
weixin_39942033的博客
02-26 463
本文主要介绍如何使用Logstash,将ModSecurity的JSON格式的审计日志保存至MySQL数据库中。测试环境:一、软件上传将上述JDK及Logstash的软件压缩包下载后,上传至服务器/usr/local目录下并解压,将JDBC上传至解压后的Logstash目录下。cd/usr/localtar-zxvfjdk-8u241-linux-x64.tar.gztar-zxvflo...
php secmod,把Apache ModSecurity的攻击日志存储到MySQL
weixin_39779530的博客
03-28 278
把Apache ModSecurity的攻击日志存储到MySQL。 查看mod_security文件类型的日志,确实太麻烦了。国内资料居然没有百度到,找到了一篇英文文章,并且php都是写好的。httpd.confInclude conf/modsecurity-crs/crs-setup.confInclude conf/modsecurity-crs/rules/*.conf# mlogc.ex...
ModSecurity 默认日志路径
m0_61237221的博客
12-29 754
ModSecurity 默认日志路径 /var/log/modsec_audit.log
apache日志 waf_开源WAF(mod_security)的搭建和分析
weixin_31021649的博客
12-24 953
背景最近需要测试关于waf的工具,要知道waf是怎么回事,必须搭建waf环境,同时才能看懂关于绕过waf的一些技术。OWASP ModSecurity核心规则集(CRS)是一组用于ModSecurity或兼容的Web应用程序防火墙的通用攻击检测规则。CRS旨在保护Web应用程序免受各种攻击,包括OWASP十大攻击,并提供最少的虚假警报。因为经常使用kali,因此环境全是在kali上面搭建,也不会再...
实现ModSecurity日志自动解析存入MySQL数据库
综上所述,ModSecurity日志解析并存放到MySQL数据库的过程中,涵盖了日志结构的理解、文本解析的技巧、数据库的设计、Python脚本的编写、定时任务的配置以及数据的存储和管理。熟练掌握这些知识点对于搭建一个高效、...
Windows 安装ModSecurity 并通过 Logstash 同步到 Mysql 数据库
General的 优快云 博客
12-17 815
安装ModSecurity 一、安装VCredist 在安装ModSecurity之前需要安装VCredist,点击https://visualstudio.microsoft.com/zh-hans/downloads/进入下载页进行下载。 二、安装 ModSecurity 根据操作系统下载下载 ModSecurity http://modsecurity.cn/,下载后直接安装。 安装成功后,applicationHost.config文件(位于C:\Windows\System32\inetsrv\
modsecurity-loganalytics
03-05
适用于Azure Log Analytics的ModSecurity记录器 一个简单的控制台应用程序,它监视文件夹并将ModSecurity日志发送到Azure Log Analytics(已缓冲-默认情况下每2分钟发送一次)。 ModSecurityLogger 1.0.0 Copyright (C) 2021 ModSecurityLogger -w, --workspace ID of your workspace -l, --log Name of the datasource/log you wish to send data to -k, --key Access key secret -p, --path Where to look for logfiles -f, --confi
modSecurity
07-10
modSecurity 2.6 source code modSecurity 2.5 manual 整理放在这方便大家下载,一个资源分意思下,没资源分的话,呵呵,网上也是能下到的,稍微麻烦些
mod_sec_report:从mod_security JSON日志记录生成HTML报告
04-17
ModSecurity报告生成器 (有时称为Modsec)是针对Apache,Microsoft IIS和Nginx的开源Web应用程序防火墙(WAF)。 mod_sec_report将JSON格式的mod_security违规日志记录转换为HTML页面,以方便用户查看。 示例报告的屏幕截图: 安装 mod_sec_report需要Python v3 。 安装依赖项: $ pip install -r requirements.txt 用法 mod_sec_report仅适用于以JSON格式登录! 您可以使用mod_security中的SecAuditLogFormat设置启用JSON日志记录: SecAuditLogFormat JSON SecAuditLog /var/log/apache2/modsec-audit.log 用法: usage: mod_s
ModSecurity中文使用手册
03-08
ModSecurity是一个WEB应用防火墙引擎,自身所提供的保护非常少。为了变得更有用些,ModSecurity必须启用规则配置。为了让用户能够充分利用ModSecurity离开方块,Breach Security, Inc.为ModSecurity 2.x提供了一套免费的认证规则集。和入侵检测及防御系统不一样,它们依赖于具体的签名过的已知漏洞,而这一核心规则却是为从网络应用中发现的不知名的漏洞提供一般的保护,通常这些漏洞大多数情况下都是自定义编码的。这一核心规则有了大量的评论,从而使得这些能够被用来做ModSecurity的部署向导。
【运维日记3-15】modsecurity安装OWASP步骤验证
技术转管理历程
03-15 2474
前置条件 1)安装git yum install git -y 2)安装readline yum -y install readline-devel ncurses-devel 3)安装lua wget -c http://www.lua.org/ftp/lua-5.2.0.tar.gz tar zxvf lua-5.2.0.tar.gz cd lua-5.2.0 make Li
modsecurity配置指令学习
weixin_30819163的博客
11-21 846
事务(transactions) Console(控制台) 1 Introduction Modsecurity是保护网络应用安全的工作。不,从零开始。我常称modsecurity为WAF(网络应用防火墙),这是种被广泛接受的叫法,它指的是为保护网络应用而专门设计的产品族。也有些时候我称它为HTTP入侵检测工具,我认为这个称呼更好的描述了modsecurity做了什么。 Unders...
ModSecurity的规则
浅笑996的博客
10-26 6043
一、ModSecurity的规则 基本格式 SecRule VARIABLES OPERATOR ACTIONS SecRule:ModSecurity主要的指令,用于创建安全规则。 VARIABLES :代表HTTP包中的标识项,规定了安全规则针对的对象。常见的变量包括:ARGS(所有请求参数)、FILES(所有文件名称)等。 OPERATOR:代表操作符,一般用来定义安全规则的匹配条件...
如何做 Nginx 安全日志分析可视化,看完这一篇,秒懂!
LinkSLA的博客
11-01 619
这里选着用mlog2waffle的方式接收日志,然后选着service deamon的方式查询日志,这种是实时查询,WAF-FLE controller URL是配置waf-fle的控制器地址,mlog2waffle是通过put请求发送数据到这个接口地址,下面就是配置ModSecurity日志的配置路径,配置完成后,点击Next。mlog2waffle,是通过put方法发送日志到waf-fle的,但是默认Nginx是不允许put请求的,所以启动会报错,需要在nginx中,通过dav方法,允许put请求。
【DevOps】ModSecurity深入解析:强大的开源Web应用防火墙
最新发布
Coder加油站的专栏
07-22 7626
ModSecurity是一个开源的、跨平台的Web应用程序防火墙(WAF)引擎。它最初是作为Apache HTTP服务器的一个模块开发的,现在已经可以作为独立程序运行,也可以集成到其他Web服务器中,如Nginx和IIS等。ModSecurity的主要目标是保护Web应用程序免受各种攻击,提高Web应用的安全性。它通过实时监控HTTP流量,对请求进行分析和过滤,来检测和阻止潜在的恶意活动。实时流量监控和访问控制虚拟补丁功能,快速修复Web应用漏洞完整的HTTP流量日志记录持续的安全评估。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值