Hvis du har et system, der laver mange logs, som er store og du vil gerne foretage en analyse.
Hvordan analyserer jeg en log fra mine systemer?
Så kan SOF-ELK måske hjælpe?
https://github.com/philhagen/sof-elk
Systemet er designet til at håndtere ”big data” og overskueliggøre og gøre data søgbare. Det kræver derfor, at du har adgang til en computer med gode hardware ressourcer (16 gb ram eller mere, I7 eller mere i processor, ssd harddisk til hurtigt data I/O).
Man kører systeet på en virtualiserings software (eks. https://www.virtualbox.org/).
Installer virtualbox, og hent sofelk
(https://github.com/philhagen/sof-elk/blob/main/VM_README.md)
Start den virtuelle maskine og log på for at se IP-adressen (se IP-adressen = ip -a)
username: elk_user
password: forensics
- Brug evt win scp for at kopiere data til mapperne
/logstash/syslog/: Syslog-formatted data - /logstash/nfarch/:
- /logstash/httpd/:
- /logstash/passivedns/:
- /logstash/kape/:
- /logstash/plaso/:
Lad maskinen gøre arbejdet og du vil oplevet at dine data bliver indekseret. Du kan nu visualisere dine data og eller søge i dem.
Vil du vide mere?
Herunder kan du se en podcast, der snakker om SOF-ELK (SANS Digital Forensics and Incident Response)
Om forfatteren
Lars Egholm Blomgaard
Timelærer
E: Denne e-mail adresse bliver beskyttet mod spambots. Du skal have JavaScript aktiveret for at vise den.
