一键审计 web 日志

alyssa

在 web 系统遭受攻击之后，通常要审计 web 日志来寻找蛛丝马迹，那么有没有可以满足需求的自动化工具呢？今天就来尝试一款开源工具 teler，项目地址：

1. https://github.com/kitabisa/teler/

复制代码

先来看一张作者测试图：



图中可以看到作者使用 nuclei 作为攻击工具测试改工具的使用效果，首先使用 teler 监控 web 的 access.log，然后启动 nuclei 进行攻击尝试，结果中出现了审计之后的结果，还能看到攻击命中的规则，比如 CVE 漏洞，暴力破解尝试。

接下来我们也尝试一下，需要准备两个东西：

1、web 攻击日志

2、程序检测规则

web 日志，可以随便找个攻击工具，对 web 服务器测试一下，然后把日志保存下来即可，比如：



关于程序的审计规则配置，可以参考官方文档：

1. https://teler.app/getting-started

复制代码

首先根据日志的类型，定义的日志的格式，比如测试用的 nginx：



对于不常见的格式，可以根据日志格式自定义，参考：

1. https://teler.app/configuration/log-format

复制代码

接下来设置审计规则，为了方便，直接使用其默认的规则库，如果特殊需求，也可以自定义检测规则，配置如图：



其他部分可以跟随配置，不用管，接下里使用命令制定规则配置和日志文件即可：

1. ./teler -i access.log -c ids.yaml

复制代码

结果中可以看到审计完成，直接将攻击利用的漏洞都审计出来了，看上去效果还不错。

除此之外，还支持在线查看，事件提醒等能力，具体如何玩，还看大家的需求。