回复 10# sync_1521
具体特征字符串的不好说,因为跟我们的系统有关。只能说大致通用的一些:
1)在GET中有单引号、双引号、重点符号等特殊字符,还在转成%xx形式的,这种非(jian)即盗,可以毫不留情。
2)对于大多数应用来说,GET超过100字符,特别是经过url净化过的系统,肯定不是什么好的请求。
3)请求中一些关键字:比如and、eval等
4)post到不应该post的位置
跟防火墙联动则比较简单,向防火墙写规则就是。
我现在用的是我自己用ipfw做的,通过table写,很轻松。也可以通过telnet、ssh向硬防添加过规则,有web界面的就更好处理了。
日志的数量上,两三分钟的日志不会太多吧,要是这几分钟都上了G,那就不是我这种穷凑合了。
每次读日志前先另存个文件,然后重置日志,分析完就打包归档。在另存的时候可能会丢几条日志,但应该不是大问题,毕竟攻击的话不会那一两秒就停止了。如果真的不能丢任何一条日志,那就让syslog或nginx辛苦一下,定时弄个备份出来,况且nginx之类的还能随时重置日志。
1 上述案例告诉我们,日志监管真的很重要,你们遇到过什么问题?
遇到最严重的一次,是移动运营商的系统,监控系统失效了,没有报警,导致磁盘写满了,生成了很多扣费异常的话单,最后只能回滚重新处理,故障发生时间在除夕春节期间,印象特别深刻。
2 大家都在使用什么日志分析软件?
象移动运营商,都有自己的网管系统,进行监控
3 你觉得还有什么好的办法解决这样的问题呢?
重要的生产系统,除了有监控系统,进行声光报警,短信报警之类,还要有值班人员,出了问题才能及时处理。
攻击从未停止,唯有日志可查。
我们系统遭受内部破坏两次都是因为良好的日志记录将攻击源进行了锁定并找到了内部攻击行为人。教训是惨痛的,深刻的。
日志是系统的历史,也是系统和人的对话。好的日志系统就是良好的对话机制。可以让问题解决轻松N倍。
ELK stack不支持Windows是软肋
讨论问题 :
1 上述案例告诉我们,日志监管真的很重要,你们遇到过什么问题?
遇到的问题跟你差不多吧,我们网站注册有个手机获取验证码的功能,当时不知道为啥没加验证码,结果被人调用接口发了1天多,3、4千块钱的短信费就没了。
要是有日志监控,就会发现频繁的接口调用,而不至于损失这么多了。
2 大家都在使用什么日志分析软件?
现在还没用,打算使用ELK 手机nginx的日志,这个ELK最近查了下资料不需要做什么开发,只要配置下就OK了,这个不错,可以快速部署上去,监控接口的访问情况,页面的访问情况,以及服务器的信息已确定是否需要扩展(硬件或软件)
同时使用flume手机tomcat的访问日志,做一些用户行为分析。
还有Scribe等工具,选择适合自己的即可
3 你觉得还有什么好的办法解决这样的问题呢?
> 上日志监控是必须的
> 服务器密码设置的复杂些,经常换个密码
> 安装的应用尽量不在root下,避免漏洞导致其他问题
> 一些应用也要加上密码等,如redis、mongodb等
> 对一些应用的访问应该设置IP列表,不应该让随便访问
回复 4# 虫虫猫
一般来说,java版本不会是太大的问题,不过运维讨厌在前端机上跑java也可以理解,所以才会有logstash-forwarder出现啊。
And,logstash-forwarder已经不再维护了,现在代替它的是filebeat。你可以用这个在前端机上收集日志发给indexer端的logstash。
回复 6# hiyachen
zabbix和ganglia需要你预先处理日志信息变成数值数据吧。不太灵活
回复 15# lyhabc
支持windows的啊
完全不吐不快
1 上述案例告诉我们,日志监管真的很重要,你们遇到过什么问题?
日志不是万能的,但是有时候确实很好用,大多数日志的价值是为了排查问题,不出问题的时候谁去看日志啊?其实最好应该把问题前置,防患于未然。开发人员如果日志写的好,说明他足够nb,给他点1w个赞。
2 大家都在使用什么日志分析软件?
splunk
3 你觉得还有什么好的办法解决这样的问题呢?
购买入侵检测设备或工具,前置。服务挂了才想起来看日志,机器挂了日志看不到咋办?很多时候攻击都是菜鸟,中鸟在练手,高手如果出手,你在服务器上很难看到有用的日志。
亡羊补牢,犹未晚矣。建议对暴露在互联网上的设备,服务全方位监控,日志监控只是途径之一。
以上,仅仅是扯d而已,自娱自乐。