

Vorder's blog

初入ELK

Vorder's blog

初入ELK

ELK

字数统计: 510阅读时长: 2 min

 2018/12/19  Share

• 
• 
• 
• 
• 

/*
本环境使用docker-elk搭建
*/

准备阶段

环境搭建

安装docker

curl -fsSL https://get.docker.com -o get-docker.sh
sudo sh get-docker.sh

安装docker-compose:1.6

pip install docker-compose==1.6

clone docker-elk代码

git clone https://github.com/deviantony/docker-elk.git

于docker-elk目录使用

docker-compose up

[!] 如果遇到invalid reference formation分别修改

/elasticsearch/Dockerfile   
/logstash/Dockerfile
/kibana/Dockerfile
除第一行ARG ELK_VERSION以外的ELK_VERSION 修改为6.5.2

window及其其他环境下参考—-官方文档：https://github.com/deviantony/docker-elk

汉化kibana

docker ps -a #找到kibana的docker 容器id
docker exec -it xxxxxx(容器id)  /bin/bash
mkdir cn 
cd cn
mkdir config
curl -o config/kibana_resource.json  https://raw.githubusercontent.com/anbai-inc/Kibana_Hanization/master/config/kibana_resource.json                        
curl -O https://raw.githubusercontent.com/anbai-inc/Kibana_Hanization/master/main.py
python main.py "/usr/share/kibana"

ps:6.5.2暴毙，很不巧的是,我所使用环境也是6.5.2

导入阶段

创建ES

创建索引

curl -H 'Content-Type: application/json' -XPUT '127.0.0.1:9200/14e' -d '{}'

创建映射(6.x后移除string类型,index变为boolean)

curl -H 'Content-Type:application/json' -XPUT '127.0.0.1:9200/14e/data0/_mapping' -d '{
    "data0": {
        "properties": {
            "email": {
                "type": "text" 
            }, 
            "passwd": {
                "type": "text" 
            }
        }
    }
}'

设置logstash清洗,导入

设置/docker-elk/logstash/pipline/logstash.conf

input {
	tcp {
		port => 5000
	}
}

filter {
  mutate{
    split => ["message",":"]
    add_field =>{
        "email" => "%{[message][0]}"
        }
    add_field =>{
        "passwd"=> "%{[message][1]}"
        }
    remove_field => ["path","message","host","@version","port"]#去掉一些不想显示的字段
    }
}
 
output {
  elasticsearch {
    hosts => "elasticsearch:9200"
	index => "14e"
	document_type => "data0"
  }
}

index_type字段已改，大坑：https://www.elastic.co/guide/en/logstash/current/plugins-outputs-elasticsearch.html#plugins-outputs-elasticsearch-document_type
关于分割参考官网文档：https://www.elastic.co/guide/en/logstash/current/plugins-filters-split.html
logstash详细写法参考此文章：https://doc.yonyoucloud.com/doc/logstash-best-practice-cn

nc 传入数据

nc localhost 5000 < 0

nc 批量传入

nc localhost 5000 < ./*

静候载入。

建立图表分析

create pie->split slices

split slices下的sub Aggregation选择filters
分别添加filters

email:"xxxx.xx"

后续

logstash对于空字段未经判断=>导致passwd出现%{[message][1]}
\ux15等乱码字符未处理
数据还没导完..
其他功能还没试玩..

原文作者：Vorder

原文链接：http://Vorders.me/2018/12/19/初入elk/

发表日期：December 19th 2018, 10:23:33 am

更新日期：July 16th 2019, 10:58:59 pm

版权声明：本文采用知识共享署名-非商业性使用 4.0 国际许可协议进行许可

• Next Post
  知识索引
• Previous Post
  绕过cdn找真实ip

Powered by Hexotheme Archer

CATALOG

1. 1. 准备阶段
   1. 1.1. 环境搭建
   2. 1.2. 汉化kibana
2. 2. 导入阶段
   1. 2.1. 创建ES
   2. 2.2. 设置logstash清洗,导入
3. 3. 建立图表分析
4. 4. 后续



• Archive
• Tag
• Cate

Total : 11

2020

• 05/18CVE-2017-7921 海康威视身份认证绕过漏洞
• 05/11SharkyCTF 合约部分wp

2019

• 12/16检测点备忘录
• 07/01记一次防守总结
• 03/12以太坊合约安全top10学习
• 03/05semcms vulnerablity before foregin trade php v3.7

2018

• 12/27知识索引
• 12/19初入ELK
• 11/15绕过cdn找真实ip
• 11/06琐碎知识
• 10/16vul♂hub学习(二)

CVE-2017-7921 漏洞利用 vulub 合约 ELK sem-cms 漏洞挖掘 信息搜集 知识积累 主机检测点索引 端口渗透tips hw 以太坊 contract 智能合约 合约安全 索引 bypass cors xss bypass upload file webshell bypass md5文件伪造 flask session 命令执行bypass 反序列化 sqli bypass shellcode bypass configurationFile



缺失模块。
1、请确保node版本大于6.2
2、在博客根目录（注意不是archer根目录）执行以下命令：
npm i hexo-generator-json-content --save
3、在根目录_config.yml里添加配置：

jsonContent:
  meta: false
  pages: false
  posts:
    title: true
    date: true
    path: true
    text: false
    raw: false
    content: false
    slug: false
    updated: false
    comments: false
    link: false
    permalink: false
    excerpt: false
    categories: true
    tags: true

