Hello 各位~
昨天下班＝放假～～
走路都像在飛一樣興奮到不行XD
但要累積去玩的時候要打的文章也是有點喘不過來

怎麼遇到的呢?

OK~ELK呢是有一次我們公司在討論說到底要怎麼分析Firewall的Log，
話說小弟剛入職的時候當時第一次接收到的任務其中一個就是分析防火牆Log，
結果我們不問沒事一問不得了，
我們根本就沒有留Log!!!!

身為菜鳥的當時連Log是甚麼我根本不知道，
我馬上詢問前輩怎麼辦!!!?
我焦躁到不行，
前輩說：我其實有偷偷收總部防火牆的Log，
我當下真的是覺得看到希望，
於是我跟前輩索取了數據，
他問我說：你打算怎麼分析?
身為資安小白的我回答：我先看一下內容吧?
然後我就被他跟他召集的另一個同事嘲笑了0.0
總之呢，我開始了分析Log的旅程，
起初收集Log我們用的是Syslog-ng，
看的部分我們用的是Graylog
試用這邊請
他也有分免費與企業版，
反正試試看也不會少一塊肉!
那這邊就要問了，
ELK呢???????

事情是這樣的，
Graylog也有使用到Elasticsearch歐=)))
後還是情一路進展到我們不用Graylog了，
實際原因...我忘了哈哈哈，
我們就正式開始使用ELK了。

使用ELK

剛開始用的時候我超級不習慣的!
操作上跟Graylog差異實在蠻大的，
那麼我的夥伴@aron3312幫我建了一個測試環境方便我截圖操作給各位看，
感謝大大支援~
這邊介紹一下介面~
一開始印入眼簾的是這樣子的，

新版的畫面不會直接進到"Discovery"裡面了，
關於這點我不太習慣，
那我們去哪看Log呢?

點進來你就可以看這樣子的畫面，

在來呢~~
左邊依序是：
1.選擇Index
2.已經有被正則出來的欄位
3.點擊"Add"就可以讓右邊直接顯示你想優先看到的欄位內容

上面這邊阿左邊主要是讓你下一些搜尋條件的，
右邊則是選擇你要看甚麼時候的Log，

在來呢就是Log的主要內容啦
他們的設定依序是：
1.長條圖每段的時間區間(每秒一條、每天一條、每小時一條...)
2.滑鼠移到長條圖上你就可以知道這個區間有多少條Log
3.下面這邊每一個間隔都是一條Log，有藍色底的呢就是已經有被分辨出來的欄位

把Log展開的話是長這樣的

介面的部分今天先介紹到這邊~~