Products
96SEO 2026-02-23 12:42 9
。
想要分析攻击者做了什么、怎么攻击进来的、还攻击了谁#xff0c;那么日志是必不可少的一项#xff0c;因此我们需要尽可能采集多的日志来进行分析攻击者的…前言
没有永远的安全如何在被攻击的情况下快速响应和快速溯源分析攻击动作是个重要的话题。
想要分析攻击者做了什么、怎么攻击进来的、还攻击了谁那么日志是必不可少的一项因此我们需要尽可能采集多的日志来进行分析攻击者的动作甚至在攻击者刚落脚的时候就阻断攻击者。
这边根据官方文档https://www.elastic.co/guide/en/elasticsearch/reference/current/docker.html
docker.elastic.co/elasticsearch/elasticsearch:8.12.1docker
docker.elastic.co/elasticsearch/elasticsearch:8.12.1#
ELASTIC_PASSWORDes_your_passworddocker
es01:/usr/share/elasticsearch/config/certs/http_ca.crt
docker.elastic.co/kibana/kibana:8.12.1docker
docker.elastic.co/kibana/kibana:8.12.1会给出kibana的注册地址访问填入上述记录的token即可。
不知道是机器性能问题还是Docker安装的问题es容器经常会挂掉。
根据https://www.elastic.co/guide/en/elasticsearch/reference/current/rpm.html、https://www.elastic.co/guide/en/kibana/current/rpm.html官方文档可以yum
install安装。
因为公司访问镜像源被封因此使用上述文档中下载rpm安装
https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-8.12.1-x86_64.rpm
https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-8.12.1-x86_64.rpm.sha512
elasticsearch-8.12.1-x86_64.rpm.sha512
elasticsearch-8.12.1-x86_64.rpm安装kibana
https://artifacts.elastic.co/downloads/kibana/kibana-8.12.1-x86_64.rpm
https://artifacts.elastic.co/downloads/kibana/kibana-8.12.1-x86_64.rpm.sha512
kibana-8.12.1-x86_64.rpm.sha512
kibana-8.12.1-x86_64.rpm依然在安装es的rpm时会吐出es/kibana的密码
Fq*S7jxCjFfPu6nN8NG8es服务可能启动不了但是安装时会给出启动命令
elasticsearch.service测试es启动是否正常
ELASTIC_PASSWORDFq*S7jxCjFfPu6nN8NG8
/etc/elasticsearch/certs/http_ca.crt
https://localhost:9200记得改下配置文件使其监听在0.0.0.0上面
/etc/elasticsearch/elasticsearch.yml#
0.0.0.0kibana一样记得改下配置文件使其监听在0.0.0.0上面
ServerURL填写https协议端口可以填默认的8220。
Server也是一个Agent因此不能在同一台机器上同时装Fleet
Agent附带Security能力可以添加各式各样的integrations集成如到Security-Manage-Get
Windows事件管理器日志不是单纯的文本因此需要借助一些工具来帮助我们完成采集的目的。
这里使用winlogbeathttps://www.elastic.co/cn/beats/winlogbeat完成。
官方提供了很详细的安装文档https://www.elastic.co/guide/en/beats/winlogbeat/current/winlogbeat-installation-configuration.html核心就是配置想要记录的日志类型和对外传输的方案这里我使用的方案为
记录的日志类型我没改默认就是Security、Application甚至还有Sysmon对外传输我使用了传输到elastic
配置好winlogbeat.yml后可以进行测试配置文件对不对
https://www.elastic.co/guide/en/beats/winlogbeat/index.html#
https://go.es.io/WinlogbeatConfigwinlogbeat.event_logs:-
Microsoft-Windows-Sysmon/Operational-
Microsoft-Windows-PowerShell/Operationalevent_id:
setup.template.settings:index.number_of_shards:
best_compression#_source.enabled:
https://[2001:db8::1]:5601#host:
winlogbeat-%{[agent.version]}-routing#
-------------------------------
verifications#ssl.certificate_authorities:
au***ntication#ssl.certificate:
add_host_metadata:when.not.contains.tags:
这时候可能elastic上面搜不到数据是因为winlogbeat使用了他自己的索引默认为winlogbeat-version笔者测试时发现kibana上迟迟出现不了该索引还以为数据传输没成功呢因此通过如下手段进行排查先获取es上面的索引信息
http://your_ip:9200/_cat/indices?v发现有类似winlogbeat的索引信息
.ds-winlogbeat-8.12.0-2024.02.03-000001
后面尝试在kibana上创建一个新的索引即可v7.17.12版本的kibana创建索引的过程如下
作为专业的SEO优化服务提供商,我们致力于通过科学、系统的搜索引擎优化策略,帮助企业在百度、Google等搜索引擎中获得更高的排名和流量。我们的服务涵盖网站结构优化、内容优化、技术SEO和链接建设等多个维度。
| 服务项目 | 基础套餐 | 标准套餐 | 高级定制 |
|---|---|---|---|
| 关键词优化数量 | 10-20个核心词 | 30-50个核心词+长尾词 | 80-150个全方位覆盖 |
| 内容优化 | 基础页面优化 | 全站内容优化+每月5篇原创 | 个性化内容策略+每月15篇原创 |
| 技术SEO | 基本技术检查 | 全面技术优化+移动适配 | 深度技术重构+性能优化 |
| 外链建设 | 每月5-10条 | 每月20-30条高质量外链 | 每月50+条多渠道外链 |
| 数据报告 | 月度基础报告 | 双周详细报告+分析 | 每周深度报告+策略调整 |
| 效果保障 | 3-6个月见效 | 2-4个月见效 | 1-3个月快速见效 |
我们的SEO优化服务遵循科学严谨的流程,确保每一步都基于数据分析和行业最佳实践:
全面检测网站技术问题、内容质量、竞争对手情况,制定个性化优化方案。
基于用户搜索意图和商业目标,制定全面的关键词矩阵和布局策略。
解决网站技术问题,优化网站结构,提升页面速度和移动端体验。
创作高质量原创内容,优化现有页面,建立内容更新机制。
获取高质量外部链接,建立品牌在线影响力,提升网站权威度。
持续监控排名、流量和转化数据,根据效果调整优化策略。
基于我们服务的客户数据统计,平均优化效果如下:
我们坚信,真正的SEO优化不仅仅是追求排名,而是通过提供优质内容、优化用户体验、建立网站权威,最终实现可持续的业务增长。我们的目标是与客户建立长期合作关系,共同成长。
Demand feedback
