,,这些东西本身很复杂,如果都要从头做工作量很大。当然市场上也有很多比较好的产品支持此功能。比ArcSight如惠普、IBM安全QRadar SIEM等等,但是这些产品都是非常昂贵的产品,有没有可以免费使用的产品呢?有:比如国外的麋鹿,ossim。国产的SeciLog。这几个产品各有优缺点,看大家自己选择了.elk是一个半成品,自己要使用需要做大量的工作,ossim,相对是成品,但是汉化还是不是太好,这两个国外产品对国内使用者的习惯还不是太好.Secilog相对平衡一点.Secilog的特点是支持syslog, snmp, jdbc、ftp/sftp等协议收集或者采集日志。对日志进行分析,格式化处理,产生告警,同时对原始日志和格式化后的日志进行全文搜索索引的存储,支持采集横向扩展集群,支持海量日志的分析和查询。可以分析linux日志,windows日志,防火墙日志ids日志,业务日志等日志,支持所有文本类型的日志存储和查询,内置16种告警:密码猜测* * *,非上班时间登录,非上班地点登录,账号猜测* * *,密码猜测* * *成功,敏感文件操作,高危命令操作,主机扫描,端口扫描,非法外联,sql注入,Xss * * *,非法访问,敏感文件访问,网站管理权限* * *,* * * Cc。通过告警规则的设定,很容易的增加其他告警。同时系统通过告警规则配置可以支持业务告警,接口请求异常,恶意刷单,大单告警等。
,很高兴你能看完,希望对你有用。
