secilog 1.19 发布 增加了ftp/sftp审计/报表钻取功能等

便民

欢迎加入运维网交流群:263444886  
日志分析软件 SeciLog 1.19发布，增加了ftp/sftp审计，增加报表钻取功能，对大多数报表都可以进行下一级的钻取，最终到日志搜索中，上篇文章1.18，有兴趣可以了解一下。本次升级主要增加以下功能：
　　
ftp审计：
ftp审计的日志样本选用了目前linux系统中最流行的vsftpd软件，在进行审计前，首先要ftp软件生成日志。
　　

Vsftpd的配置文件为：/etc/vsftpd/vsftpd.conf 
配置三个地方产生日志：
1、xferlog_enable=YES 
2、xferlog_file=/var/log/xferlog 
3、dual_log_enable=YES
配置完成后Vsftpd会产生两个日志文件，一个是/var/log/vsftpd.log记录登录认证日志，另一个是/var/log/xferlog，记录了上传下载日志，系统目前主要精确分析vsftpd.log日志。
分析后的结果如下，对ftp命令的大多数进行了解析，这样更方面的可以看到ftp的请求过程。

　　
sftp审计：
Sftp分析了目前常用的sshd自带的sftp协议日志。
配置：#vi /etc/ssh/sshd_config
修改 Subsystem sftp /usr/libexec/openssh/sftp-server 
如下Subsystem sftp internal-sftp -l INFO -f local0
去掉下面一行的注释 #LogLevel INFO
修改syslog配置 vi /etc/syslog.conf
# 增加一行
local0.*                    @ip
同时修改message中的信息，不然会重复记录
*.info;mail.none;authpriv.none;cron.none         /var/log/messages改为下面的内容
*.info;mail.none;authpriv.none;cron.none;local0.none     /var/log/messages
/etc/init.d/syslog restart 
/etc/init.d/sshd restart 
配置完成重启后会生成sftp.log日志，当然如果配置远程机器，就直接把日志发给远程的采集器了。
分析后的结果如下，对sftp命令的大多数进行了解析，这样更方面的可以看到sftp的请求过程。

　　
web报表功能
增加了web报表钻取功能对前面的四个报表做了二级报表处理，然后对其他报表做了链接到日志搜索的页面。看下面的图，pv和独立ip，状态码和ip流量统计都也钻取到第二页的报表，然后根据第二页的报表还可以最终钻取到日志搜索页面，这样就知道报表中的数据是怎么来的。

　　
ftp报表
这次增加了ftp报表功能。可以对ftp最近的行为进行统计，同样点击报表中的数据可以钻取到日志搜索页面，更方便的进行数据查询。对最下面的具体下载内容，进行了二次钻取，得到文件的下载趋势。
　　

ftp中具体文件的下载趋势。
上个版本提到的对于squid日志的日志分析，只需要把squid日志保存成apache的日志格式，系统就可以正常分析了。
本次升级的内容主要有这么多。下个版本主要会增加iis的w3c格式的日志分析，增加inotify日志分析，增加会话查询，包括ftp/sftp会话，windows和linux的操作会话查询。同时会增加自定义报表的功能。