seci-log 1.02 發佈，日誌分析軟件增長了多種告警

咱們在日誌分析軟件七種告警(非上班時間訪問，非上班地點訪問，密碼猜想，帳號猜想，帳號猜想成功、敏感文件操做告警和高危命令操做)的基礎上有增長了主機掃描，端口掃描，非法外聯告警的內容。

主機掃描

主機掃描是指在一臺機器上對內網或者外網一個網段進行掃描，目的是要發現網絡中存活的主機，爲下一步的操做打下基礎。這條告警和下面的端口掃描和非法外聯都屬於網絡層面的告警，前提也是須要配置日誌策略。在linux系統中大部分都內置了iptabe防火牆，能夠利用iptable防火牆的日誌功能進行採集日誌，而後進行分析這些告警。下面介紹一下日誌配置：

一、在linux下執行一下命令，能夠是iptables的日誌從syslog發送：

iptables-AOUTPUT-ptcp-jLOG--log-prefix"seci-iptables"--log-level4

iptables-AOUTPUT-pudp-jLOG--log-prefix"seci-iptables"--log-level4

二、配置syslog發送策略：

kern.warning@IP地址

須要注意的是*.info;mail.none;authpriv.none;cron.none;kern.none中要加上kern.none,否則就會重複發送，固然能夠不要第一條，直接在info中發送也是能夠的。

三、從起syslog服務:

servicersyslogrestart

四、安裝nmap，下面以centos爲例：

yuminstallnmap

通過以上配置就能夠配置好防禦牆日誌發送策略。

驗證過程，首先要進行配置，合法端口。詳見下圖：

執行nmap命令：nmap-sP192.168.21.1-20，掃描20臺主機。

查看告警：

而後查看告警詳情：

能夠發現，nmap在主機發現的掃描中，主要探測了443和80端口，這個時候告警會產生兩條主機掃描的告警。

端口掃描

端口掃描是指在一臺機器上對內網或者外網的另外一臺機器進行端口掃描，目的是要發現網絡中主機開放的端口信息，爲下一步的操做打下基礎。這條告警也屬於網絡層面的告警，前提也是須要配置日誌策略。詳細的配置信息詳見主機掃描。

驗證過程：執行nmap命令：nmap-p20-80192.168.21.1地址，掃描61個端口。

查看告警：

查看詳情：

   能夠看出掃描了此機器的端口多個不一樣端口的信息。

非法外聯

非法外聯是指在一臺機器上不應有的其餘鏈接信息，好比服務器，正常狀況下可能只開放了80，22端口，並且通常服務器是被動接收的日誌，當發現日誌中有主動發起的鏈接並且不是規定的端口，頗有多是中了***，這個時候要特別關注。這條告警也屬於網絡層面的告警，前提也是須要配置日誌策略。詳細的配置信息詳見主機掃描。

驗證過程，首先要進行配置，合法端口。詳見下圖：

表示本機22和514端口是合法的端口其餘端口都是非法端口，執行上面主機掃描或者端口掃描的nmap命令，便可產生非法外聯告警。

查看詳情：

從中能夠看出有非法外聯行爲，裏面的日誌有的是和主機掃描或者端口掃描重複。