這篇文章主要介紹了怎么做Nginx安全日志分析可視化，具有一定借鑒價(jià)值，感興趣的朋友可以參考下，希望大家閱讀完這篇文章之后大有收獲，下面讓小編帶著大家一起了解一下。

創(chuàng)新互聯(lián)建站專(zhuān)注為客戶(hù)提供全方位的互聯(lián)網(wǎng)綜合服務(wù)，包含不限于網(wǎng)站設(shè)計(jì)制作、做網(wǎng)站、涇川網(wǎng)絡(luò)推廣、微信小程序開(kāi)發(fā)、涇川網(wǎng)絡(luò)營(yíng)銷(xiāo)、涇川企業(yè)策劃、涇川品牌公關(guān)、搜索引擎seo、人物專(zhuān)訪、企業(yè)宣傳片、企業(yè)代運(yùn)營(yíng)等，從售前售中售后，我們都將竭誠(chéng)為您服務(wù)，您的肯定，是我們最大的嘉獎(jiǎng)；創(chuàng)新互聯(lián)建站為所有大學(xué)生創(chuàng)業(yè)者提供涇川建站搭建服務(wù)，24小時(shí)服務(wù)熱線：028-86922220，官方網(wǎng)址：chinadenli.net

之前介紹過(guò) ModSecurity 這款優(yōu)秀的開(kāi)源 WAF，它是一個(gè)入侵檢測(cè)與阻止的引擎，原本是Apache的一個(gè)模塊，現(xiàn)在可作為單獨(dú)模塊編譯添加到 Nginx 服務(wù)中

雖然這款 WAF 很優(yōu)秀，但是使用起來(lái)并沒(méi)有那么容易，之前也整理了文章介紹它的原理和規(guī)則，然而還有一個(gè)問(wèn)題，就是它的日志分析，之前介紹原理規(guī)則的時(shí)候，也介紹了它的日志規(guī)則，但是在使用過(guò)程中，純文本的記錄方式，對(duì)于入侵分析太不友好了

所以今天介紹一款管理 ModSecurity 日志的開(kāi)源項(xiàng)目 WAF-FLE

WAF-FLE是專(zhuān)門(mén)用來(lái)處理ModSecurity日志和事件的控制臺(tái)，管理員可以通過(guò)WAF-FLE查看和搜索ModSecurity記錄的日志

WAF-FLE是PHP寫(xiě)的開(kāi)源項(xiàng)目，搭建需要LNMP/LAMP環(huán)境

環(huán)境需求：

• Apache/Nginx

• PHP5.3+

• php-pdo

• php-MySQL

• php-apc

• php-geoip

• MySQL5.1+

安裝環(huán)境不贅述，只說(shuō)一個(gè)GeoIP庫(kù)的安裝，這里要通過(guò)GeoIP庫(kù)去展示入侵IP信息，所以需要用到這個(gè)庫(kù)，安裝很簡(jiǎn)單，其實(shí)就是下載一個(gè)dat數(shù)據(jù)庫(kù)，從https://www.maxmind.com/en/geoip-demo下載

下載后解壓出dat文件即可

環(huán)境準(zhǔn)備好之后，從github下載WAF-FLE：https://github.com/klaubert/waf-fle

在waf-fle的extra目錄下，存放了數(shù)據(jù)庫(kù)sql文件，以及Apache的配置文件，如果是用的Apache，直接將這個(gè)配置復(fù)制到apache配置目錄下即可，如果用Nginx，參考下面的配置

修改config.php的時(shí)候，因?yàn)槲覜](méi)有安裝apc的緩存擴(kuò)展，這擴(kuò)展很老了，所以直接設(shè)置APC_ON=false，關(guān)閉這個(gè)緩存

完成上面之后，通過(guò)域名訪問(wèn)，即可訪問(wèn)到安裝界面

這里檢查php擴(kuò)展的時(shí)候，如果你不是Apache的話，會(huì)有個(gè)問(wèn)題，就是在setup.php的499行，它用apache_getenv檢測(cè)是否用Apache運(yùn)行的，如果沒(méi)運(yùn)行Apache，這里過(guò)不去，我這里是Nginx運(yùn)行的，所以打開(kāi)setup.php文件499行，把這部分代碼注釋掉即可

接著點(diǎn)擊運(yùn)行創(chuàng)建數(shù)據(jù)庫(kù)

這里創(chuàng)建數(shù)據(jù)庫(kù)的時(shí)候又有個(gè)問(wèn)題，在setup.php代碼28行的地方，執(zhí)行創(chuàng)建函數(shù)的時(shí)候，引用一個(gè)$databaseSchema，這里修改定義了一個(gè)位置，但是我放置的是我的位置，所以這里需要根據(jù)自己情況進(jìn)行修改

修改完成后，繼續(xù)通過(guò)頁(yè)面執(zhí)行創(chuàng)建數(shù)據(jù)庫(kù)操作，創(chuàng)建完成如下:

安裝完成，默認(rèn)用戶(hù)名密碼是admin/admin，之后，在config.php中配置$SETUP=false，關(guān)閉安裝之后，重新訪問(wèn)

默認(rèn)用戶(hù)密碼登錄之后，就需要修改用戶(hù)名密碼

設(shè)置完新密碼之后，就會(huì)跳轉(zhuǎn)到主界面了

目前沒(méi)有數(shù)據(jù)，現(xiàn)在開(kāi)始接入日志數(shù)據(jù)，點(diǎn)擊菜單欄的management，添加sensor

保存后，即創(chuàng)建好一個(gè)sensor，用來(lái)接收日志

創(chuàng)建好之后，在這個(gè)sensor上面，開(kāi)始配置事件接收器

這里選著用mlog2waffle的方式接收日志，然后選著service deamon的方式查詢(xún)?nèi)罩?，這種是實(shí)時(shí)查詢(xún)，WAF-FLE controller URL是配置waf-fle的控制器地址，mlog2waffle是通過(guò)put請(qǐng)求發(fā)送數(shù)據(jù)到這個(gè)接口地址，下面就是配置ModSecurity日志的配置路徑，配置完成后，點(diǎn)擊Next

系統(tǒng)會(huì)給出提示配置，需要按照給出的配置，配置這幾個(gè)配置文件，這里按照提示的配置操作即可，需要的mlog2waffle配置文件及啟動(dòng)腳本都在extra目錄下

配置完成后，啟動(dòng)mlog2waffle

mlog2waffle，是通過(guò)put方法發(fā)送日志到waf-fle的，但是默認(rèn)Nginx是不允許put請(qǐng)求的，所以啟動(dòng)會(huì)報(bào)錯(cuò)，需要在nginx中，通過(guò)dav方法，允許put請(qǐng)求

啟動(dòng)mlog2waffle過(guò)程中，遇到不少問(wèn)題，記錄如下：

• mlog2waffle中配置了$CHECK_CERT = “TRUE”，用來(lái)檢測(cè)SSL的，當(dāng)用http的時(shí)候，這里要改成False，否則會(huì)握手失敗

• mlog2waffle中配置了$CHECK_CONNECTIVITY = “TRUE”，這里是啟動(dòng)，檢測(cè)mlog2waffle和waffle的連通信的，通過(guò)check_conn方法

這里通過(guò)PUT方法，發(fā)送了一個(gè)檢測(cè)請(qǐng)求，這里比較坑的是，發(fā)送PUT請(qǐng)求，沒(méi)有URI，但是Nginx在檢測(cè)到PUT請(qǐng)求沒(méi)有URI的時(shí)候，會(huì)報(bào)409，認(rèn)為資源有沖突

所以，不管怎么做，這里檢測(cè)就不會(huì)通過(guò)，兩種方法處理，一種是直接關(guān)閉這個(gè)檢測(cè)，mlog2waffle就可以正常啟動(dòng)，另外一種方法就是修改這個(gè)檢測(cè)的方法，將uri帶上，mlog2waffle是perl腳本，很簡(jiǎn)單

• waf-fle中使用了不少Apache專(zhuān)用內(nèi)置函數(shù)，比如apache_getenv()、getallheaders()、apache_setenv()，因?yàn)檫@里用的Nginx，所以這幾個(gè)函數(shù)都沒(méi)有，

這里需要手動(dòng)替換下，通過(guò)$_SERVER去獲取客戶(hù)端IP，而getallheaders()方法，需要手動(dòng)寫(xiě)一個(gè)，如下：

另外在index.php中，65行的位置，原本是通過(guò)apache_setenv()將獲取到的sensor的名稱(chēng)，復(fù)制給Apache的”REMOTE_USER”，這里不用Apache，所以直接注釋掉即可

修改完這些，就可以通過(guò)腳本啟動(dòng)mlog2waffle了

啟動(dòng)后，通過(guò)waf的access日志就可以看到mlog2waffle已經(jīng)開(kāi)始通過(guò)put方法將日志解析成event，傳輸?shù)絯af-fle

在mlog2waffle的readIndex方法中，因?yàn)橐x取并解析日志索引文件，所以有一個(gè)正則匹配如圖：

這里需要你更具自己記錄的日志格式進(jìn)行修改匹配，完全匹配后，才能正確讀取到日志，并解析后通過(guò)send_event方法將解析后的內(nèi)容通過(guò)PUT方法傳輸?shù)絯af-fle進(jìn)行展示

waf-fle的接收文件就一個(gè)index.php，它將所有步驟通過(guò)正則解析，有興趣的可以看下源碼，到此waf-fle就部署完成了，看下效果

雖然waf-fle是比較老的開(kāi)源項(xiàng)目，但是對(duì)于modsecurity的日志分析完全夠用

感謝你能夠認(rèn)真閱讀完這篇文章，希望小編分享的“怎么做Nginx安全日志分析可視化”這篇文章對(duì)大家有幫助，同時(shí)也希望大家多多支持創(chuàng)新互聯(lián)，關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，更多相關(guān)知識(shí)等著你來(lái)學(xué)習(xí)!

網(wǎng)站欄目：怎么做Nginx安全日志分析可視化
網(wǎng)頁(yè)鏈接：http://chinadenli.net/article48/gopgep.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供Google、網(wǎng)站策劃、網(wǎng)站設(shè)計(jì)公司、網(wǎng)站營(yíng)銷(xiāo)、品牌網(wǎng)站設(shè)計(jì)、

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)