seci

10477777

#深圳# 6月10日 亚马逊AWSome Day云计算免费培训报名中
这篇文章是seci-log 开源日志分析软件的升级内容，上篇文章的地址为：http://www.oschina.net/news/62548/seci-log-1-03
本次升级并没有增加新的告警，而是增加了window的日志分析，主要分析了windows的登录日志和操作日志，这两个比较重要的日志类型，其他日志类型可以作为通用的日志收集功能进行存储查询。
Windows系统没有自带的功能支持系统日志进行syslog发送，因此需要依赖第三方工具，这里我们推荐一款非常好用的轻量级日志采集模块：Nxlog，在Windows下部署和配置均十分便捷。
注：本人测试过2008 server，理论上2012也是可以的，其他环境没有测试，如果有问题欢迎到群里咨询。

　　
1、安装Nxlog
从Sourceforge下载最新的?Nxlog，并安装。
　　
2、建立配置文件
修改配置文件，默认配置文件位置：
C:\Program?Files\nxlog\conf\nxlog修改为以下内容，注意要修改实际路径和争取的发送目的的地址。
如果想收集全部日志去掉query行。
im_msvistalog针对Windows 2008系列，im_mseventlog针对Windows 2003系列。注意和实际环境一致。
　　?
123456789101112131415161718192021222324252627282930define?ROOT?C:\Program?Files\nxlog?Moduledir?%ROOT%\modulesCacheDir?%ROOT%\dataPidfile?%ROOT%\data\nxlog.pidSpoolDir?%ROOT%\dataLogFile?%ROOT%\data\nxlog.log?Module?xm_syslog?????Module??????im_msvistalogReadFromLast?TRUE?Query?*[System[(EventID=4688?or?EventID=4624?or?EventID=4625)?]]Exec??$Message?=?"";?Exec?to_syslog_ietf();?$raw_event?=?replace($raw_event,?'NXLOG@14506',?'secisland?windows?eventlog?',?1);?????Module??????om_udp????Host????????192.168.21.1????Port????????514??????Path????????in?=>?out
　　
3、重启Nxlog服务

　　
4、查看日志
如果配置正常，可以在后台安全健康--安全事件中看到如下日志：
2015-05-30T23:01:39.971740+08:00 WIN-TI494OC1RZO.secisland.com Microsoft-Windows-Security-Auditing 600 - [secisland windows eventlog Keywords="-9214364837600034816" EventType="AUDIT_SUCCESS" EventID="4624" ProviderGuid="{54849625-5478-4994-A5BA-3E3B0328C30D}" Version="0" Task="12544" OpcodeValue="0" RecordNumber="71402" ThreadID="2092" Channel="Security" Category="登录" Opcode="信息" SubjectUserSid="S-1-0-0" SubjectUserName="-" SubjectDomainName="-" SubjectLogonId="0x0" TargetUserSid="S-1-5-18" Ta

　　
5、相关告警
密码猜测，非上班时间登录，非上班地点登录，密码猜测成功，账号猜测告警和这些内容相关。