Skip to content

狩猎数据收集

OSINT数据

// ToDo

蜜罐数据采集

部署Fapro节点

自动化运维工具可以参考:Ansible

采集日志数据

编写logstash管道文件

文件名为:honeypot-seoul01-2022-01-30.yml

input {
    beats {
        port => "5044"
        type => "json"
    }
}
filter {
    json {
        source => "message"
        remove_field => ["message"]
    }
}
output {
    elasticsearch {
        hosts => ["XXXXXX:9200"]
        index => "honeypot-2022-01-30"
        user => "elastic"
        password => "YOUR_PASSWORD"
    }
}

编写filebeat管道文件

其中paths字段为需要导入的数据文件路径,其中的hosts字段为ES的主机地址和端口,文件名为:filebeat-honeypot-seoul01-2022-01-30.yml

filebeat.inputs:
- type: log
  paths:
    - /home/ubuntu/fapro.log
output.logstash:
  hosts: ["XXXXXX:5044"]

加载管道文件

先运行logstash

/usr/share/logstash/bin/logstash -f honeypot-2022-01-30.yml --config.reload.automatic

再跑filebeat

/usr/share/filebeat/filebeat -e -c /home/ubuntu/filebeat-honeypot-2022-01-30.yml -d "publish"

系统日志采集

// ToDo

  • Windows安全日志

  • Windows powershell日志

  • Windows sysmon日志
  • linux audit日志
  • HTTP_log
  • 应用日志(例如中间件日志)