本篇内容主要讲解“怎么用Teler进行实时HTTP入侵检测”,感兴趣的朋友不妨来看看。本文介绍的方法操作简单快捷,实用性强。下面就让小编来带大家学习“怎么用Teler进行实时HTTP入侵检测”吧!
Teler是一个基于Web日志的实时入侵检测工具,该工具能够帮助广大研究人员实时进行HTTP入侵检测并发出威胁警报,该工具是一个命令行工具,基于社区内的其他多个项目和资源实现其功能。简而言之,Telter是一个快速的基于终端的威胁分析工具,其核心思想就是快速分析和实时搜索威胁!
实时分析:支持对日志进行实时分析,实时识别可疑活动。
警报:当检测到威胁活动时,Teler能够发出警报提醒,并通过Slack、Telegram和Discord等工具来推送消息通知。
监控:我们提供了一些威胁指标来帮助大家更加轻松地去监控威胁,这里我们使用的是Prometheus。
最新资源:工具内继承的资源会持续更新。
灵活的日志格式:Teler支持任意自定义日志格式字符串,具体取决于我们在配置文件中定义的日志格式。
增量日志处理:需要数据持久性而不是缓冲流?Teler能够通过磁盘上的持久性选项以增量方式处理日志记录。
该工具的安装非常简单,我们可以直接访问该项目的【Releases页面】来下载预构建好的二进制代码,然后拆包并运行即可。或者,也可以执行下列命令:
curl -sSfL 'https://ktbs.dev/get-teler.sh' | sh -s -- -b /usr/local/bin
我们可以使用下列命令来获取Docker镜像:
docker pull kitabisa/teler
此时需要安装并配置好Go v1.14+环境:
GO111MODULE=on go get -v -u ktbs.dev/teler/cmd/teler
如需更新该工具,可以直接使用go get命令和-u选项。
git clone https://github.com/kitabisa/teler cd teler make build mv ./bin/teler /usr/local/bin
Teler的使用非常简单,直接运行下列命令即可:
[buffers] | teler -c /path/to/config/teler.yaml # 或 teler -i /path/to/access.log -c /path/to/config/teler.yaml
如果使用的是Docker镜像的话,则运行下列命令:
[buffers] | docker run -i --rm -e TELER_CONFIG=/path/to/config/teler.yaml teler # 或 docker run -i --rm -e TELER_CONFIG=/path/to/config/teler.yaml teler --input /path/to/access.log
teler -h
上述命令将显示该工具的帮助信息:
下面给出的是该工具支持的全部选项:
选项 | 描述 | 样例 |
-c, | Teler配置文件 | kubectl logs nginx | teler -c /path/to/config/teler.yaml |
-i, | 日志分析 | teler -i /var/log/nginx/access.log |
-x, | 设置分析日志的并发级别(默认为20) | tail -f /var/log/nginx/access.log | teler -x 50 |
-o, | 将检测到的威胁存储至文件中 | teler -i /var/log/nginx/access.log -o /tmp/threats.log |
--json | 在终端中以JSON格式显示相关的威胁信息 | teler -i /var/log/nginx/access.log --json |
--rm-cache | 删除所有缓存资源 | teler --rm-cache |
-v, | 显示当前Teler版本 | teler -v |
我们提供的通知推送选项如下:
Slack
Telegram
Discord
我们可以按照下列方式配置通知警报:
notifications: slack: token: "xoxb-..." color: "#ffd21a" channel: "G30SPKI" telegram: token: "123456:ABC-DEF1234...-..." chat_id: "-111000" discord: token: "NkWkawkawkawkawka.X0xo.n-kmZwA8aWAA" color: "16312092" channel: "700000000000000..."
我们还可以禁用警报或指定警报发送的地方:
alert: active: true provider: "slack"
到此,相信大家对“怎么用Teler进行实时HTTP入侵检测”有了更深的了解,不妨来实际操作一番吧!这里是亿速云网站,更多相关内容可以进入相关频道进行查询,关注我们,继续学习!
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。