seci-log 1.02 发布，日志分析软件增长了多种告警

咱们在日志分析软件七种告警(非上班时间访问，非上班地点访问，密码猜想，帐号猜想，帐号猜想成功、敏感文件操做告警和高危命令操做)的基础上有增长了主机扫描，端口扫描，非法外联告警的内容。

主机扫描

主机扫描是指在一台机器上对内网或者外网一个网段进行扫描，目的是要发现网络中存活的主机，为下一步的操做打下基础。这条告警和下面的端口扫描和非法外联都属于网络层面的告警，前提也是须要配置日志策略。在linux系统中大部分都内置了iptabe防火墙，能够利用iptable防火墙的日志功能进行采集日志，而后进行分析这些告警。下面介绍一下日志配置：

一、在linux下执行一下命令，能够是iptables的日志从syslog发送：

iptables-AOUTPUT-ptcp-jLOG--log-prefix"seci-iptables"--log-level4

iptables-AOUTPUT-pudp-jLOG--log-prefix"seci-iptables"--log-level4

二、配置syslog发送策略：

kern.warning@IP地址

须要注意的是*.info;mail.none;authpriv.none;cron.none;kern.none中要加上kern.none,否则就会重复发送，固然能够不要第一条，直接在info中发送也是能够的。

三、从起syslog服务:

servicersyslogrestart

四、安装nmap，下面以centos为例：

yuminstallnmap

通过以上配置就能够配置好防御墙日志发送策略。

验证过程，首先要进行配置，合法端口。详见下图：

执行nmap命令：nmap-sP192.168.21.1-20，扫描20台主机。

查看告警：

而后查看告警详情：

能够发现，nmap在主机发现的扫描中，主要探测了443和80端口，这个时候告警会产生两条主机扫描的告警。

端口扫描

端口扫描是指在一台机器上对内网或者外网的另外一台机器进行端口扫描，目的是要发现网络中主机开放的端口信息，为下一步的操做打下基础。这条告警也属于网络层面的告警，前提也是须要配置日志策略。详细的配置信息详见主机扫描。

验证过程：执行nmap命令：nmap-p20-80192.168.21.1地址，扫描61个端口。

查看告警：

查看详情：

   能够看出扫描了此机器的端口多个不一样端口的信息。

非法外联

非法外联是指在一台机器上不应有的其余链接信息，好比服务器，正常状况下可能只开放了80，22端口，并且通常服务器是被动接收的日志，当发现日志中有主动发起的链接并且不是规定的端口，颇有多是中了***，这个时候要特别关注。这条告警也属于网络层面的告警，前提也是须要配置日志策略。详细的配置信息详见主机扫描。

验证过程，首先要进行配置，合法端口。详见下图：

表示本机22和514端口是合法的端口其余端口都是非法端口，执行上面主机扫描或者端口扫描的nmap命令，便可产生非法外联告警。

查看详情：

从中能够看出有非法外联行为，里面的日志有的是和主机扫描或者端口扫描重复。