小白运维/网安自学记录(日志分析与ELK审计)

📅 2026/7/14 5:14:20
小白运维/网安自学记录(日志分析与ELK审计)
查看日志的基础操作首先我们需要知道日志是安全运维的眼睛攻击者来过的痕迹都在日志里所以我们先要学会怎么查看日志。cat /var/log/auth.log | grep ssh此命令就检索通过ssh登录账号的IP以及时间查看系统日志tail -f /var/log/syslog #-f意为实时显示文件内容里面含有一些服务以及系统层级的日志查看nginx登录日志cat /var/log/nginx/access.log | tail -n 8 #查看日志并返回最新的8条数据还可以通过管道符一键返回出访问nginx网址最多的IPcat /var/log/nginx/access.log | awk {print $1} | sort | uniq -c | sort -rn| head #awk只返回第一字段sort初次筛选为了使同一字段聚集一起uniq再将一样的字段统计起来sort二次筛选 #则是将出现IP的从大往小排最后head便是只看出现频率最高的前10个ELK的拉取及使用9.4.3LogstashKibanaElasticsearch查看日志过后我们就来通过docker来拉取并安装ELKdocker pull sebp/elk通过访问Ubuntu5601查看是否搭建成功如果访问失败可能是由于磁盘和内存空间不足进入到Elastic的系统中先进入Dev tools验证一下是否全部安装成功安装成功后接下来配置logstash 进入容器修改logstash修改配置文件docker exec -it elk bash ls /etc/logstash/ #有对应文件才进行下一步 vi /etc/logstash/conf.d/authlog.conf ## input { file { path /var/log/auth.log start_position beginning sincedb_path /dev/null } } output { elasticsearch { hosts [localhost:9200] index auth-log-%{YYYY.MM.dd} } stdout { codec rubydebug } } ##发现文件权限不足logstash用户运行但是文件权限为640此文件又是系统登录文件ls -l /var/log/auth.log还需要更改文件的权限确认配置成功这边系统里面配置完成后进入Kibana中验证,搜索data views点击create a data views名称可以随便取但是索引字段须和右边显示的索引匹配然后点击创建即可成功再通过查看discover部分一键检索登录失败的日志在界面中间的搜索框中搜索Failed Password下面就可以显示对应日志而后还可以将攻击ip列为图表看的更加直观需要进容器中更改配置重新进入discover界面可以看到左侧多了一个attack_ip字段可以通过右键所需字段一键构建图表如图以其他字段为例子我的attack字段中暂时没有文件信息为了快捷就取了其他字段