ARTLAS(Apache Real Time Logs Analyzer System)是一个Apache日志实时分析器。它基于OWASP排名前10的漏洞,可识别对web应用程序发动的攻击,并能够通过Telegram, Zabbix和Syslog/SIEM通知你的事件响应小组。
ARTLAS使用PHP-IDS工程中的正则表达式来识别攻击,在这里可以下载到最新的版本。
支持的输出方式
Zabbix Version 2.4 and 3.0
SySlog
SIEM
Telegram
支持的web服务器
Apache
Apache vHost
Nginx
Nginx vHost
安装
克隆工程
git clone https://github.com/mthbernardes/ARTLAS.git
安装依赖库
pip install -r dependencies.txt
python version 2.7.11(lastet)
安装screen
sudo apt-get install screen #Debian Like
sbopkg –i screen # Slackware 14.*
yum install screen # CentOS/RHEL
dnf install screeen # Fedora
配置
通过etc/artlas.conf文件进行配置
TELEGRAM配置
[Telegram]
api = 你的Token API
group_id = 接收通知的Group/User ID
enable = True表示发送通知,False表示不发送
ZABBIX配置
[Zabbix]
server_name = zabbix中的服务器主机名
agentd_config = Zabbix agent配置文件
enable_advantage_keys = True或者False,是否使用高级触发器
notifications = true启用,false不启用触发器通知
enable = true表示启用,false表示不启用
SYSLOG/SIEM配置
[CEF_Syslog]
server_name = SySlog/SIEM服务器的IP地址或主机名
enable = True或者False,是否启用
一般配置
[General]
apache_log = apache access.log的全路径
apache_mask = 标识apache access log中的区域的掩码
vhost_enable = True或者False,是否启用vhosts
rules = etc/default_filter.json ,这是OWASP filter文件[不要修改]
运行
screen -S artlas
python artlas.py
CTRL+A+D
原创文章,作者:kepupublish,如若转载,请注明出处:https://blog.ytso.com/56124.html