OWASP:日志和监视不足-开源工具

Question

对于安全性和日志记录来说，我是新手，在阅读了大量关于使用的术语之后，我确信我不需要IDS/IPS或WAF。

我最感兴趣的是自动化对我的应用程序日志的“监视”，并强制执行某些事情--在特定条件下发生某些事件。是否有任何开放源码工具可以帮助进行这种检测和自动化(一些强大的规则/条件引擎，警告调用脚本或http点)，或者我是否应该在日志管理平台之上构建它？

也许我描述的这个东西叫做暹粒，但我不确定，或者它已经可以使用麋鹿或格雷格等。

谢谢

Answer 1

Graylog允许您定义警报触发器/条件和操作/通知。

它可以对指定的URL进行HTTP POST。我不确定参数化是否可用，但这可能足以满足您的需要。灰日志市场(https://marketplace.graylog.org/)将有更多的选项，这些选项可能允许更复杂的操作--因此可能已经有了一些东西。

*(取决于你胸前有多少头发，你可以开发自己的警报/通知插件)

我99%肯定麋鹿会提供这个，甚至比Graylog更多。我的麋鹿经验有限，但我怀疑Graylog最接近ELK堆栈中的Logstash服务。两者都使用Elasticsearch，但是Kibana提供了许多Graylog中没有的特性。

SIEM可能也能做到这一点，但是SIEM包含了很多预定义的规则集来跟踪不同来源的异常，并关联并自动发出安全警报。它们通常允许扩展现有的规则集和/或创建自己的规则集。它们几乎总是具有强大学习曲线的goliath系统。你说的似乎有点过火了。

如果你使用SIEM或集中式日志，这些东西需要大量的“果汁”(CPU、RAM和IO)。如果您只想部署应用程序日志、监视和警报，那么Graylog可能是最好的选择。从灰日志站点抓取OVA并进行游戏，如果graylog失败了，请继续切换到ELK，然后查看暹粒选项。