2. 程式人生 > >快速搭建 ELK + OpenWAF 環境

快速搭建 ELK + OpenWAF 環境

阿新 發佈:2017-07-07
日誌分析 功能 響應頭 使用 elastic 官方 升級 csr 視圖

摘要: OpenWAF是第一個全方位開源的Web應用防護系統; ELK 是比較火的開源日誌分析系統; 本節主要介紹,ELK 的 docker 部署及與 OpenWAF 的結合

OpenWAF簡介

OpenWAF是第一個全方位開源的Web應用防護系統(WAF),他基於nginx_lua API分析HTTP請求信息。OpenWAF由行為分析引擎和規則引擎兩大功能引擎構成。其中規則引擎主要對單個請求進行分析,行為分析引擎主要負責跨請求信息追蹤。

規則引擎的啟發來自modsecurity及lua-resty-waf,將ModSecurity的規則機制用lua實現。基於規則引擎可以進行協議規範,自動工具,註入攻擊,跨站攻擊,信息泄露,異常請求等安全防護,支持動態添加規則,及時修補漏洞。

行為分析引擎包含基於頻率的模糊識別,防惡意爬蟲,人機識別等防探測模塊,防CSRF,防CC,防提權,文件上傳防護等防攻擊模塊,cookie防篡改,防盜鏈,自定義響應頭,攻擊響應頁面等防信息泄露模塊。

除了兩大引擎之外,還包含統計,日誌,攻擊響應頁面,接入規則等基礎模塊。除了已有的功能模塊,OpenWAF還支持動態修改配置, 動態添加第三方模塊,使得在不重啟引擎中斷業務的條件下,升級防護。

OpenWAF支持將上述功能封裝為策略,不同的web application應用不同的策略來防護。將來還會打造雲平臺,策略還可分享供他人參考。

ELK簡介

ELK是三個不同工具的簡稱,組合使用可以完成各種日誌分析

Elasticsearch: 是一個基於 Apache Lucene(TM) 的開源搜索引擎,簡單點說就是用於建立索引並存儲日誌的工具

Logstash: 是一個應用程序,它可以對日誌的傳輸、過濾、管理和搜索提供支持。我們一般用它來統一對應用程序日誌進行收集管理,提供Web接口用於查詢和統計

Kibana: 用於更友好的展示分析日誌的web平臺,簡單點說就是有圖有真相,可以在上面生成各種各樣的圖表更直觀的顯示日誌分析的成果

安裝

ELK 的安裝,網上有很多,這裏只描述 docker 方式的部署

Elasticsearch

1、拉取 elasticsearch docker 鏡像

 docker pull elasticsearch

2、啟動 elasticsearch 容器

 docker run -d --name openwaf_es elasticsearch

3、獲取 openwaf_es 地址

 docker inspect openwaf_es | grep IPAddress  
 得到地址為:192.168.39.17

 PS: elasticsearch 服務端口為 9200

Logstash

1、拉取 logstash docker 鏡像

 docker pull logstash

2、啟動 logstash 容器

 docker run -it --name openwaf_logstash -v /root/logstash.conf:/usr/share/logstash/config/logstash.conf logstash -f /usr/share/logstash/config/logstash.conf
PS:
 /root/logstash.conf 文件內容如下:
 udp {                  # udp 服務配置
     port => 60099      # 表示日誌服務器監聽在 60099 端口
     codec => "json"    # 接收 json 格式信息
 }
 output {
     elasticsearch {
         hosts => ["192.168.39.17:9200"] # elasticsearch 的地址為 39.17,且端口為 9200
     }
 }
 上面的配置表示:openwaf 向 logstash 的 60099 端口,發送 udp 協議的 json 日誌,然後 logstash 將其存入 Elasticsearch

3、獲取 openwaf_logstash 地址

 docker inspect openwaf_logstash | grep IPAddress  
 得到地址為:192.168.39.18

Kibana

1、拉取 kibana docker 鏡像

 docker pull kibana

2、啟動 logstash 容器

 docker run -d --name openwaf_kibana -e ELASTICSEARCH_URL=http://192.168.39.17:9200 kibana

3、獲取 openwaf_kibana 地址

 docker inspect openwaf_kibana | grep IPAddress  
 得到地址為:192.168.39.19

 PS: kibana 服務端口為 5601

OpenWAF配置

conf/twaf_default_conf.json 中 twaf_log 模塊

    "twaf_log": {
        "sock_type":"udp",
        "content_type":"JSON",
        "host":"192.168.39.18",
        "port":60099,
        ...
    }

測試

測試版 OpenWAF 地址 192.168.36.44,反向代理後端服務器 192.168.39.216

現訪問 192.168.36.44/?a=1 order by 1

訪問結果如下:

技術分享

此時,訪問 192.168.39.19:5601,在 kibana 上查看日誌

若第一次使用 kibana,需要生成一個索引,如下(使用默認):

技術分享

kibana 日誌顯示如下:

技術分享

kibana 功能強大,可以做各種視圖,用來分析日誌,生成報表,更多功能請看 kibana官方文檔

文章轉自:https://my.oschina.net/qijian/blog/1186415

快速搭建 ELK + OpenWAF 環境

相關推薦

快速搭建 ELK + OpenWAF 環境

日誌分析 功能 響應頭 使用 elastic 官方 升級 csr 視圖 摘要: OpenWAF是第一個全方位開源的Web應用防護系統; ELK 是比較火的開源日誌分析系統; 本節主要介紹,ELK 的 docker 部署及與 OpenWAF 的結合 OpenWAF簡介 Ope

快速搭建ELK 叢集日誌收集工具Centos7 +Logstash +Elasticsearch+Kibana 環境

應用場景: 伺服器叢集,如果程式報錯,不懂從哪一臺伺服器上檢視日誌;想更加直接了當的看到日誌,什麼伺服器,什麼錯誤。 學到什麼 通過這篇文章可以傻瓜式的安裝程式,並且瞭解分散式應用日誌收集的場景。 環境 嶄新的一臺centos7虛擬機器; 介紹 介紹就算了, 搜得到這個的大概知道是幹嘛的

Mac下快速搭建PHP開發環境

mysql密碼 安裝 update 搭建 navicat src table string his 最近做了一個後端的項目,是用PHP+MySQL+Nginx做的,所以把搭建環境的方法簡單總結一下。 備註: 物料:Apache/Nginx+PHP+MySQL+MAMP M

基於 Docker 快速搭建 Oracle 開發環境

docker Oracle要給開發人員搭建 Oracle 測試環境,準備基於 Docker 構建,同時建立一個 Docker 私有倉庫,誰需要就讓他裝一個 Docker,才從這私有倉庫 pull 鏡像即可。 環境如下: CentOS 7 docker-ce-18.03.1.ce-1.el7.cen

CentOS7使用DevStack快速搭建OpenStack實驗環境

inf TE das 安裝過程 .org Opens 分享 dev open 安裝環境:centos7系統下安裝devstack 一、下載Ubuntu14或者Centos7安裝(實體機或者虛擬機都可以),建議選擇最小安裝鏡像即可。 二、安裝devstack   文檔

MacOS 快速搭建Odoo開發環境

ins 最新版 pac 權限 自帶 database usr ror 裝包 轉載請註明原文地址:https://www.cnblogs.com/cnodoo/p/9307325.html 一:安裝PostgreSQL 下載並安裝PostgreSQL數據庫:http

使用vagrant快速搭建linux實驗環境

由於 用戶家目錄 linu tom per host key 支持 fine 簡介本文主要介紹如何使用vagrant配合virtualbox快速搭建實驗環境。virtualbox是一個開源跨平臺虛擬機管理軟件,功能類似收費的vmwarevagrant是一個開源的虛擬機配置編

快速搭建ELK,以及簡單故障處理

fir pac 模塊 timestamp roo cal 遠程連接 onerror 3.0 ELK是三個開源軟件的縮寫,分別表示:Elasticsearch , Logstash, Kibana , 它們都是開源軟件。新增了一個FileBeat,它是一個輕量級的日誌收集處理

快速搭建ELK集中化日誌管理平臺

command uri tun sock one cau else inf span 由於我們的項目是分布式,服務分布於多個服務器上,每次查看日誌都要登錄不同服務器查看,而且查看起來還比較麻煩,老大讓搭一個集中化日誌管理的東西,然後就在網上找到了這個東西ELK E

[kubernetes] 使用 Minikube 快速搭建本地 k8s 環境 (基於 Docker 驅動模式)

完成 eset bin 操作 article 瀏覽器 ase pac 改變 一、實驗環境 操作系統:Centos 7 x86_64 Docker:1.12.6 二、部署 k8s 步驟 2.1 安裝 kubectl cat <<EO

快速搭建Java生產環境

快速搭建一個java的生產環境 (本文使用於有一定基礎的程式設計人員,如果小白的話請仔細,一步一步按照本文來 也可配置成功,有問題可在下方評論) 1. JDK 看好自己電腦的版本  X32/X64,然後下載一個版本。並不是越新越好,一般都是1.5、1.7 官網 htt

Laradock 快速搭建PHP開發環境

可能你並不清楚 Docker 是什麼,更不瞭解 Laradock是什麼,送上語句自己特別喜歡的一句話 Use Docker First And Learn About It Later 大概意思就是 先去使用它,然後再去學習它, 要求 Git Docker >= 1

教你如何用docker快速搭建深度學習環境

本教程搭建集 Tensorflow、Keras、Coffe、PyTorch 等深度學習框架於一身的環境,及jupyter。 一、安裝依賴環境 1. 使用國內映象加速安裝 sudo mv /etc/

ubuntu16.04 快速搭建ELK日誌分析平臺

假如我們要在一臺伺服器上部署一個ssm應用,部署完,執行一段時間崩了。排查問題得時候,我們自然會想到檢視log4J日誌。可是,如果伺服器不止一個應用,而是好幾個呢,這當然可以檢視每個應用的log4J日誌。那如果不止一臺伺服器,而是好幾臺呢,難道還一個一個看?這顯

結合Docker快速搭建ELK日誌收集分析平臺

作者:馬哥Linux運維-Eason ELK Stack ELK (Elasticsearch + Logstash + Kibana),是一個開源的日誌收集平臺,用於收集各種客戶端日誌檔案在同一個平臺上面做資料分析。 Introduction Elasticsearch, 基於json分析搜尋引擎

在不到1G記憶體機器上快速搭建一個hadoop環境

摘要:我們在很多情況下只需要一個配置極簡但具備所有功能的hadoop來做一些探索或者調查性等工作,雖然這時候的hadoop不具有生產環境下的強大配置和工業級的可靠性和穩定性但是它的可工作和可執行性已經足夠。本文目的是在一個只有1核,cpu頻率不到 1.8G,記憶體1G的機器

快速搭建java開發環境-超詳細,超簡單(適用於window平臺)

1.安裝jdk oracle下載jdk,目前較新版本jdk1.8、1.9,本文安裝jdk1.8.0_131版本,安裝步驟省略(目錄做好不要帶空格,會很麻煩),當然如果你很ok的話,也可以下載zip檔案

基於Jenkins快速搭建持續整合環境

看了園友張善友的博文,嘗試成功.便有此作.原網址:http://www.cnblogs.com/shanyou/p/3750714.html   天下事有難易乎?為之,則難者亦易矣;不為,則易者亦難矣. 首先要學會使用MSBuild構建指令碼 附

Jenkins+Maven+SVN快速搭建持續整合環境

Jenkins是一個可擴充套件的持續整合引擎,Jenkins非常易於安裝和配置,簡單易用,下面看看我們是如何幾分鐘就快速搭建一個持續整合環境吧。 假設我們目前已經有2個maven專案:entities(Java類庫),web(Web應用,依賴entities)。 一、安裝Jenkins 把Je

可持續自動化構建微服務(1)快速搭建虛擬機器環境

1.1 軟體需求1) vagrant_1.9.6_x86_64.msi2) VirtualBox-5.1.24-117012-Win.exe3) vagrant-centos-7.2.box 1.2 準備工作1.2.1 安裝 virtualBox到 官 網 https://w