��ܰ������ʡн 2024��(g��)��ُ����(b��o)�� 2024�ЈD�W(w��ng)��Ȉ�(b��o)��
�gӭ���R�ЈD�W(w��ng) Ո | ע��

��־�����c����(��2��)

���ߣ���־��
�����磺��ӹ��I(y��)����������r(sh��)�g��2023-02-01
�_���� ���� 퓔�(sh��)�� 352
�� �D �r(ji��):¥76.7(6.5��) ���r(ji��)  ¥118.0 ��䛺�ɿ�����(hu��)�T�r(ji��)
����ُ��܇ �ղ�
�\(y��n)�M(f��i)6Ԫ���M39Ԫ���\(y��n)�M(f��i)
?�½������س���
������Ǖ�����>

��־�����c����(��2��) ���(qu��n)��Ϣ

��־�����c����(��2��) ��(n��i)�ݺ���

��������������־�����c����ϵ�y(t��ng)���O(sh��)Ӌ(j��)������������͸�ص،���־����������ģ�K��ԭ���c��(sh��)�F(xi��n)�M(j��n)����ϵ�y(t��ng)���v�����C�Ͻ�B����־�������g(sh��)�ڔ�(sh��)��(j��)�����������\(y��n)�S�����^�y����SIEM��UEBA��SOAR��IT�\(y��n)�S����ȫ��(f��)�s�����еđ�(y��ng)�ã����R���˸��ИI(y��)��(y��u)��Ľ�Q��������1��3�½�B����־�����Ļ��������־�������P(gu��n)�ķ��ɷ�Ҏ(gu��)��Ҏ(gu��)��Ҫ������־�����c����ϵ�y(t��ng)�ĽM�ɲ��ּ����g(sh��)�x�ͽ��h����4��10�·քeᘌ���־�ɼ����ֶν�������־�惦(ch��)����־��������־��(sh��)��(j��)����̎���Z��SPL����־�澯����־��ҕ������־������*��Ҫ�Č�(sh��)�F(xi��n)���E�M(j��n)���˾��w�U������11��14�½�B����־ƽ�_(t��i)�������c�U(ku��)չ������־�������\(y��n)�S��(sh��)��(j��)�����������\(y��n)�S�c���^�y�ԵȽ�����T�����еđ�(y��ng)������15��17�½�B��SIEM��NTA��UEBA��SOAR�Ȱ�ȫ���P(gu��n)��(n��i)�ݡ���18�¿��Y(ji��)���e����־�����c�������g(sh��)�����ڽ�������Դ���\(y��n)�I�̵ȸ��P(gu��n)�I�ИI(y��)�Ľ�Q������

��־�����c����(��2��) Ŀ�

Ŀ �

��1�� �߽���־ 001

1.1 ʲô����־ 002

1.1.1 ��־�ĸ��� 002

1.1.2 ��־���B(t��i)ϵ�y(t��ng) 002

1.1.3 ��־������ 003

1.2 ��־��(sh��)��(j��) 004

1.2.1 ��־�h(hu��n)���c��־��� 004

1.2.2 ��־�Z�� 005

1.2.3 ��־����Ҏ(gu��)�� 007

1.2.4 ��־ʹ���`�^(q��) 008

1.3 ����־ 008

1.4 ��־ʹ�È��� 009

1.4.1 �����Ų� 009

1.4.2 �\(y��n)�S�O(ji��n)�� 010

1.4.3 ��ȫ��Ӌ(j��) 010

1.4.4 �I(y��)��(w��)���� 011

1.4.5 ��“(li��n)�W(w��ng) 013

1.5 ��־δ��չ�� 013

��2�� ��־���� 015

2.1 ��־�������P(gu��n)���� 016

2.2 ��־����Ҫ�� 016

2.3 ��־�����д��ڵĆ��} 017

2.4 ��־�����ĺ�̎ 018

2.5 ��־�w�n 021

��3�� ��־�����c����ϵ�y(t��ng) 022

3.1 ��־�����c����ϵ�y(t��ng)�Ļ������� 023

3.1.1 ��־�ɼ� 023

3.1.2 ��(sh��)��(j��)��ϴ 023

3.1.3 ��־�惦(ch��) 024

3.1.4 ��־�澯 024

3.1.5 ��־���� 024

3.1.6 ��־��ҕ�� 025

3.1.7 ��־���ܷ��� 025

3.1.8 �Ñ��c��(qu��n)�޹��� 025

3.1.9 ϵ�y(t��ng)���� 025

3.2 ��־�����c����ϵ�y(t��ng)���g(sh��)�x�� 026

3.2.1 ��־�����Ļ������� 026

3.2.2 �_Դ+���� 028

3.2.3 �̘I(y��)�a(ch��n)Ʒ 028

3.3 �Y(ji��) 031

��4�� ��־�ɼ� 032

4.1 ��־�ɼ���ʽ 033

4.1.1 Agent�ɼ� 033

4.1.2 Syslog 034

4.1.3 ץ�� 035

4.1.4 �ӿڲɼ� 035

4.1.5 �I(y��)��(w��)���c(di��n)�ɼ� 035

4.1.6 Docker��־�ɼ� 036

4.2 ��־�ɼ���Ҋ���} 037

4.2.1 �¼��ϲ� 037

4.2.2 �߲��l(f��)��־�ɼ� 038

4.2.3 ��Ӵ�Ŀ䛲ɼ� 038

4.2.4 ����С�ļ���־�ɼ� 039

4.2.5 ������־�ɼ����} 039

4.3 �Y(ji��) 040

��5�� �ֶν��� 041

5.1 �ֶεĸ��� 042

5.2 ͨ���ֶ� 042

5.2.1 �r(sh��)�g�� 043

5.2.2 ��־��Դ 043

5.2.3 ��(zh��)�нY(ji��)�� 043

5.2.4 ��־��(y��u)�ȼ�(j��) 043

5.3 �ֶγ�ȡ 044

5.3.1 ��־�Z�� 044

5.3.2 �ֶγ�ȡ���� 045

5.3.3 ������־��͵��ֶγ�ȡ 047

5.4 schema on write�cschema on read 048

5.5 �ֶν�����Ҋ���} 049

5.5.1 �ֶδ��ڄe�� 049

5.5.2 ����(g��)�r(sh��)�g�� 049

5.5.3 �����ַ� 049

5.5.4 ���b�ɘ�(bi��o)��(zh��n)��־ 050

5.5.5 ����D(zhu��n)�Q 050

5.5.6 ������Ϣ��Q 050

5.5.7 HEX�D(zhu��n)�Q 050

5.6 �Y(ji��) 051

��6�� ��־�惦(ch��) 052

6.1 ��־�惦(ch��)��ʽ 053

6.1.1 ��ͨ�ı� 053

6.1.2 ���M(j��n)���ı� 054

6.1.3 ���s�ı� 056

6.1.4 �����ı� 057

6.2 ��־�惦(ch��)��ʽ 057

6.2.1 ��(sh��)��(j��)��惦(ch��) 057

6.2.2 �ֲ�ʽ�惦(ch��) 060

6.2.3 �ļ��z��ϵ�y(t��ng)�惦(ch��) 061

6.2.4 �ƴ惦(ch��) 063

6.3 ��־�����惦(ch��) 064

6.4 ��־������� 064

6.4.1 ���g���ԾS�� 065

6.4.2 �r(sh��)�g���ԾS�� 065

6.4.3 ��ʼλ�Ʋ��ԾS�� 065

6.5 ��־�������� 065

6.5.1 ��־�������� 066

6.5.2 ��(sh��)�r(sh��)�������� 066

6.6 �Y(ji��) 067

��7�� ��־���� 068

7.1 ��־�����F(xi��n)�� 069

7.1.1 ����־�ı�Ҫ���J(r��n)�R(sh��)���� 069

7.1.2 ȱ����־�������I(y��)�˲� 069

7.1.3 ��־�w�����ҷ�ɢ�����}��λ�y 069

7.1.4 ��(sh��)��(j��)��й 069

7.1.5 ������־�����ăr(ji��)ֵ 070

7.2 ��־������Q���� 070

7.2.1 ��(sh��)��(j��)����� 070

7.2.2 ��־�����S�� 071

7.3 ���÷������� 072

7.3.1 ���� 072

7.3.2 ��� 072

7.3.3 �ֵ 073

7.3.4 �����z�y 073

7.3.5 �C(j��)���W(xu��)��(x��) 073

7.4 ��־�������� 074

7.4.1 Linuxϵ�y(t��ng)��־�������� 074

7.4.2 �\(y��n)�I�������� 075

7.4.3 ���ױO(ji��n)�ذ��� 077

7.4.4 VPN�����Ñ��О�O(ji��n)�ذ��� 077

7.4.5 ���\(y��n)�S���� 078

7.5 SPL���� 079

7.6 �Y(ji��) 081

��8�� SPL 082

8.1 SPL���� 083

8.2 SPL�W(xu��)��(x��)��(j��ng)�(y��n) 083

8.3 Сԇţ�� 084

8.3.1 ������ԃ�c�y(t��ng)Ӌ(j��) 088

8.3.2 �y(t��ng)Ӌ(j��)���� 089

8.3.3 �֕r(sh��)�y(t��ng)Ӌ(j��) 091

8.3.4 ������ 092

8.4 �D����ʹ�� 093

8.4.1 ��ҕ�����w�F(xi��n)��(sh��)��(j��)څ�ݵĈD�� 093

8.4.2 ���٫@ȡ���� 094

8.5 ��(sh��)��(j��)���� 095

8.5.1 �xֵ�cӋ(j��)�� 095

8.5.2 ֻ������Ҫ�Ĕ�(sh��)��(j��) 101

8.5.3 �^�V�(xi��ng) 101

8.5.4 ���� 102

8.5.5 ����ͻ�����c(di��n) 104

8.5.6 ȥ���� 105

8.5.7 �����@ʾ 106

8.5.8 ��(sh��)�F(xi��n)����Ӌ(j��)�� 107

8.5.9 ֻ������Ҫ���ֶ� 108

8.6 �P(gu��n)“(li��n)���� 109

8.6.1 ��(sh��)��(j��)�P(gu��n)“(li��n)�c�Ӳ�ԃ 109

8.6.2 �P(gu��n)“(li��n) 112

8.6.3 ��(sh��)��(j��)���� 113

8.7 �Y(ji��) 115

��9�� ��־�澯 116

9.1 ���� 117

9.2 �O(ji��n)���O(sh��)�� 117

9.3 �澯�O(ji��n)�ط�� 120

9.3.1 ���Д�(sh��)�y(t��ng)Ӌ(j��)��͵ĸ澯�O(ji��n)�� 121

9.3.2 �ֶνy(t��ng)Ӌ(j��)��͵ĸ澯�O(ji��n)�� 121

9.3.3 �B�m(x��)�y(t��ng)Ӌ(j��)��͵ĸ澯�O(ji��n)�� 122

9.3.4 ����������͵ĸ澯�O(ji��n)�� 122

9.3.5 �Զ��x�y(t��ng)Ӌ(j��)��͵ĸ澯�O(ji��n)�� 123

9.3.6 ���ܸ澯 124

9.4 �澯��ʽ 124

9.4.1 �澯�l(f��)�ͷ�ʽ 124

9.4.2 �澯���ƺͻ֏�(f��) 126

9.4.3 �澯�IJ�������� 127

9.5 �Y(ji��) 127

��10�� ��־��ҕ�� 128

10.1 ���� 129

10.2 ��ҕ������ 129

10.2.1 ���R(sh��)��ҕ�� 129

10.2.2 �D���c��(sh��)��(j��) 130

10.3 �D��Ԕ�� 131

10.3.1 ����D�� 132

10.3.2 �S��D�� 136

10.3.3 �P(gu��n)ϵD�� 140

10.3.4 ��(f��)��D�� 143

10.3.5 �؈DD�� 145

10.3.6 �����D�� 146

10.4 ��־��ҕ������ 151

10.4.1 MySQL������־��ҕ�� 151

10.4.2 ���ژI(y��)��(w��)��־��ҕ�� 155

10.5 �Y(ji��) 158

��11�� ��־ƽ�_(t��i)�������c�U(ku��)չ�� 159

11.1 RESTful API 160

11.1.1 RESTful API���� 160

11.1.2 ��Ҋ��־����API��� 161

11.1.3 API�O(sh��)Ӌ(j��)���� 162

11.2 ��־App 163

11.2.1 ��־App���� 163

11.2.2 ��־App�����ú����c(di��n) 163

11.2.3 ��Ҋ��־App��� 164

11.2.4 ������־App���� 167

11.2.5 ��־App�İl(f��)չ 171

��12�� �\(y��n)�S��(sh��)��(j��)���� 172

12.1 �\(y��n)�S��(sh��)��(j��)�������� 173

12.2 �\(y��n)�S��(sh��)��(j��)�������� 175

12.2.1 Ԫ��(sh��)��(j��)���� 176

12.2.2 ����(sh��)��(j��)���� 176

12.2.3 ��(sh��)��(j��)��(bi��o)��(zh��n)���� 176

12.2.4 ��(sh��)��(j��)�|(zh��)������ 177

12.2.5 ��(sh��)��(j��)ģ�ͼ�����(w��) 177

12.2.6 ��(sh��)��(j��)��ȫ 177

12.2.7 ��(sh��)��(j��)�������� 177

12.3 �\(y��n)�S��(sh��)��(j��)�������� 178

12.3.1 ���߶�λ 178

12.3.2 ���w�ܘ�(g��u) 178

12.3.3 ��(sh��)��(j��)������� 179

12.3.4 ��(sh��)��(j��)��(bi��o)��(zh��n)������ 179

12.3.5 ��(sh��)��(j��)�惦(ch��)���� 182

12.3.6 ��(sh��)��(j��)��(y��ng)���c����(w��) 184

��13�� �����\(y��n)�S 186

13.1 ���� 187

13.2 �����z�y 187

13.2.1 ��ָ��(bi��o)�����z�y 188

13.2.2 ��ָ��(bi��o)�����z�y 193

13.3 ������� 195

13.3.1 ���P(gu��n)�Է��� 195

13.3.2 �¼��P(gu��n)“(li��n)�P(gu��n)ϵ�ھ� 197

13.4 ��־���� 197

13.4.1 ��־�A(y��)̎�� 198

13.4.2 ��־ģʽ�R(sh��)�e 199

13.4.3 ��־�����z�y 199

13.5 �澯�Ք� 200

13.6 څ���A(y��)�y 202

13.7 �����A(y��)�y 203

13.7.1 �����A(y��)�y�ķ��� 203

13.7.2 �����A(y��)�y������c�u�� 204

13.8 �����\(y��n)�S�����Ԅ�(d��ng)���\(y��n)�S 205

13.9 �����\(y��n)�S���R������(zh��n) 206

��14�� ���^�y�� 207

14.1 ���� 208

14.1.1 ���^�y�Ե��Ɂ� 208

14.1.2 ���^�y���c�O(ji��n)�� 208

14.1.3 ���^�y�Ե�����֧�� 209

14.2 ��(sh��)�F(xi��n)���^�y�Եķ��� 210

14.2.1 ��(sh��)��(j��)ģ�� 211

14.2.2 ��(sh��)��(j��)��Դ 211

14.3 ���^�y�ԑ�(y��ng)�È��� 215

14.3.1 �\(y��n)�S�O(ji��n)�� 215

14.3.2 �·׷ۙ 217

14.3.3 ָ��(bi��o)̽�� 219

14.3.4 ���϶�λ 220

14.4 �Y(ji��) 221

��15�� SIEM 222

15.1 ���� 223

15.2 ��Ϣ��ȫ���O(sh��)�д��ڵĆ��} 223

15.3 ��־������SIEM�е����� 224

15.4 ��־�����c��ȫ�O(sh��)������Į�ͬ 224

15.5 SIEM���ܼܘ�(g��u) 225

15.6 SIEM�m���� 226

15.7 �Ñ��О���� 234

15.8 �������� 240

15.8.1 �����f(xi��)�h��B 240

15.8.2 ������������ 241

15.8.3 ��WebLogic RCE©�����ڵV 241

15.9 �Y(ji��) 249

��16�� UEBA 250

16.1 ���������Ñ��О� 251

16.1.1 ������B 251

16.1.2 ��(sh��)��(j��)Դ 252

16.1.3 ��(bi��o)������ 254

16.2 �О����ģ�� 255

16.2.1 �������� 255

16.2.2 �C(j��)���W(xu��)��(x��)ģ�� 257

16.3 ��(y��ng)���� 261

16.3.1 ��(sh��)��(j��)й¶ 261

16.3.2 �xš���� 261

16.3.3 ��Ҏ(gu��)���� 261

16.3.4 ʧ���~�� 262

16.4 �Y(ji��) 265

��17�� ��ȫ�������Ԅ�(d��ng)���c푑�(y��ng) 266

17.1 SOAR���� 267

17.2 SOAR�ܘ�(g��u)�c���� 268

17.2.1 ���g(sh��)�ܘ�(g��u) 268

17.2.2 �����c�M���Ķ��x 269

17.2.3 �����c�M����ʹ�� 269

17.3 SOAR�cSIEM���P(gu��n)ϵ 271

17.3.1 SOAR�cSIEM�P(gu��n)“(li��n)ʹ�� 273

17.3.2 SOAR�cSIEM��Ϣͬ�� 274

17.4 ��(y��ng)���� 276

17.4.1 �Ԅ�(d��ng)��������� 276

17.4.2 DNS�W(w��ng)�j(lu��)ȡ�C�������� 277

17.5 �Y(ji��) 279

��18�� �ИI(y��)��Q���� 280

18.1 ���� 281

18.2 �y���ИI(y��)��Q���� 281

18.2.1 �ИI(y��)���� 281

18.2.2 �ИI(y��)��(d��ng)ǰ����(zh��n) 281

18.2.3 ���w���O(sh��)˼· 282

18.2.4 �(xi��ng)Ŀ���w���� 286

18.3 �Cȯ�ИI(y��)��Q���� 286

18.3.1 �ИI(y��)���� 286

18.3.2 �ИI(y��)��(d��ng)ǰ����(zh��n) 286

18.3.3 ���w���O(sh��)˼· 287

18.3.4 �(xi��ng)Ŀ���w���� 289

18.4 ���U(xi��n)�ИI(y��)��Q���� 290

18.4.1 �ИI(y��)���� 290

18.4.2 �ИI(y��)��(d��ng)ǰ����(zh��n) 290

18.4.3 ���w���O(sh��)˼· 291

18.4.4 �(xi��ng)Ŀ���w���� 294

18.5 �����ИI(y��)��Q���� 294

18.5.1 �ИI(y��)���� 294

18.5.2 �ИI(y��)��(d��ng)ǰ����(zh��n) 295

18.5.3 ���w���O(sh��)˼· 295

18.5.4 �(xi��ng)Ŀ���w���� 298

18.6 ����ИI(y��)��Q���� 298

18.6.1 �ИI(y��)���� 298

18.6.2 �ИI(y��)��(d��ng)ǰ����(zh��n) 299

18.6.3 ���w���O(sh��)˼· 299

18.6.4 �(xi��ng)Ŀ���w���� 302

18.7 ʯ���ИI(y��)��Q���� 302

18.7.1 �ИI(y��)���� 302

18.7.2 �ИI(y��)��(d��ng)ǰ����(zh��n) 303

18.7.3 ���w���O(sh��)˼· 303

18.7.4 �(xi��ng)Ŀ���w���� 306

18.8 �\(y��n)�I���ИI(y��)��Q���� 307

18.8.1 �ИI(y��)���� 307

18.8.2 �ИI(y��)��(d��ng)ǰ����(zh��n) 307

18.8.3 ���w���O(sh��)˼· 308

18.8.4 �(xi��ng)Ŀ���w���� 316

18.9 �V��ИI(y��)��Q���� 316

18.9.1 �ИI(y��)���� 316

18.9.2 �ИI(y��)��(d��ng)ǰ����(zh��n) 317

18.9.3 ���w���O(sh��)˼· 317

18.9.4 �(xi��ng)Ŀ���w���� 321

18.10 ��܇�ИI(y��)��Q���� 322

18.10.1 �ИI(y��)���� 322

18.10.2 �ИI(y��)��(d��ng)ǰ����(zh��n) 322

18.10.3 ���w���O(sh��)˼· 323

18.10.4 �(xi��ng)Ŀ���w���� 326

18.11 �Y(ji��) 327

�����īI(xi��n) 328


չ�_ȫ��

��־�����c����(��2��) ���ߺ���

������(y��u)�ؽ���Ϣ���g(sh��)���޹�˾�����Q����־�ס����ǹ��I(y��)����Ϣ�����J(r��n)���Č������¡�С���ˡ���I(y��)�������ń�(chu��ng)���е���־��������Beaver�c����̎���Z��SPL��Search Processing Language�������g(sh��)�����ɿ�����־����������־�����c�������g(sh��)���_�l(f��)����(sh��)�`�c�ƏV���ѽ�(j��ng)������(sh��)�ټҴ�����I(y��)�������M(j��n)��(sh��)�ֻ��D(zhu��n)�͡��������߈F(tu��n)�(du��)�ɆT������־�ׄ�(chu��ng)ʼ��&CEO�܊�����g(sh��)ؓ(f��)؟(z��)������ƽ���\(y��n)�S�a(ch��n)Ʒؓ(f��)؟(z��)��&�ИI(y��)��������ա���ȫ�a(ch��n)Ʒؓ(f��)؟(z��)��ʩ��徵�����־�ׄ�(chu��ng)ʼ��&CEO�܊��ǰ�ߵµ؈D���g(sh��)������������šCisco��Google���vӍ�ȇ��H֪����˾������20����IT����“(li��n)�W(w��ng)�аl(f��)������(j��ng)�(y��n)���ڔ�(sh��)��(j��)���ġ���Ӌ(j��)������(sh��)��(j��)����������־�����I(l��ng)�����S����(j��ng)�(y��n)���l(f��)����4�(xi��ng)�W(w��ng)�j(lu��)���ֲ�ʽϵ�y(t��ng)������������־�ׄ�(chu��ng)ʼ��&CEO�܊��ǰ�ߵµ؈D���g(sh��)�����ã�����šCisco��Google���vӍ�ȇ��H֪����˾������20����IT����“(li��n)�W(w��ng)�аl(f��)������(j��ng)�(y��n)���ڔ�(sh��)��(j��)���ġ���Ӌ(j��)������(sh��)��(j��)����������־�����I(l��ng)�����S����(j��ng)�(y��n)���l(f��)����4�(xi��ng)�W(w��ng)�j(lu��)���ֲ�ʽϵ�y(t��ng)����������

��Ʒ�uՓ(0�l)
���o�uՓ����
�������]
����픲�
�ЈD�W(w��ng)
�ھ��ͷ�