怎么快速搭建 ELK + OpenWAF 環境

本篇內容介紹了“怎么快速搭建 ELK + OpenWAF 環境”的有關知識，在實際案例的操作過程中，不少人都會遇到這樣的困境，接下來就讓小編帶領大家學習一下如何處理這些情況吧！希望大家仔細閱讀，能夠學有所成！

OpenWAF簡介

OpenWAF是第一個全方位開源的Web應用防護系統（WAF），他基于nginx_lua API分析HTTP請求信息。OpenWAF由行為分析引擎和規則引擎兩大功能引擎構成。其中規則引擎主要對單個請求進行分析，行為分析引擎主要負責跨請求信息追蹤。

規則引擎的啟發來自modsecurity及lua-resty-waf，將ModSecurity的規則機制用lua實現。基于規則引擎可以進行協議規范，自動工具，注入攻擊，跨站攻擊，信息泄露，異常請求等安全防護，支持動態添加規則，及時修補漏洞。

行為分析引擎包含基于頻率的模糊識別，防惡意爬蟲，人機識別等防探測模塊，防CSRF，防CC，防提權，文件上傳防護等防攻擊模塊，cookie防篡改，防盜鏈，自定義響應頭，攻擊響應頁面等防信息泄露模塊。

除了兩大引擎之外，還包含統計，日志，攻擊響應頁面，接入規則等基礎模塊。除了已有的功能模塊，OpenWAF還支持動態修改配置， 動態添加第三方模塊，使得在不重啟引擎中斷業務的條件下，升級防護。

OpenWAF支持將上述功能封裝為策略，不同的web application應用不同的策略來防護。將來還會打造云平臺，策略還可分享供他人參考。

ELK簡介

ELK是三個不同工具的簡稱,組合使用可以完成各種日志分析

Elasticsearch: 是一個基于 Apache Lucene(TM) 的開源搜索引擎,簡單點說就是用于建立索引并存儲日志的工具

Logstash: 是一個應用程序,它可以對日志的傳輸、過濾、管理和搜索提供支持。我們一般用它來統一對應用程序日志進行收集管理，提供Web接口用于查詢和統計

Kibana: 用于更友好的展示分析日志的web平臺,簡單點說就是有圖有真相,可以在上面生成各種各樣的圖表更直觀的顯示日志分析的成果

安裝

ELK 的安裝，網上有很多，這里只描述 docker 方式的部署

Elasticsearch

1. 拉取 elasticsearch docker 鏡像

    docker pull elasticsearch

2. 啟動 elasticsearch 容器

    docker run -d --name openwaf_es elasticsearch

3. 獲取 openwaf_es 地址

    docker inspect openwaf_es | grep IPAddress  
    得到地址為：192.168.39.17
    
    PS: elasticsearch 服務端口為 9200

Logstash

1. 拉取 logstash docker 鏡像

    docker pull logstash

2. 啟動 logstash 容器

    docker run -it --name openwaf_logstash -v /root/logstash.conf:/usr/share/logstash/config/logstash.conf logstash -f /usr/share/logstash/config/logstash.conf
PS:
    /root/logstash.conf 文件內容如下：
    udp {                  # udp 服務配置
        port => 60099      # 表示日志服務器監聽在 60099 端口
        codec => "json"    # 接收 json 格式信息
    }
    output {
        elasticsearch {
            hosts => ["192.168.39.17:9200"] # elasticsearch 的地址為 39.17，且端口為 9200
        }
    }
    上面的配置表示：openwaf 向 logstash 的 60099 端口，發送 udp 協議的 json 日志，然后 logstash 將其存入 Elasticsearch

3. 獲取 openwaf_logstash 地址

    docker inspect openwaf_logstash | grep IPAddress  
    得到地址為：192.168.39.18

Kibana

1. 拉取 kibana docker 鏡像

    docker pull kibana

2. 啟動 logstash 容器

    docker run -d --name openwaf_kibana -e ELASTICSEARCH_URL=http://192.168.39.17:9200 kibana

3. 獲取 openwaf_kibana 地址

    docker inspect openwaf_kibana | grep IPAddress  
    得到地址為：192.168.39.19
    
    PS: kibana 服務端口為 5601

OpenWAF配置

conf/twaf_default_conf.json 中 twaf_log 模塊

    "twaf_log": {
        "sock_type":"udp",
        "content_type":"JSON",
        "host":"192.168.39.18",
        "port":60099,
        ...
    }

“怎么快速搭建 ELK + OpenWAF 環境”的內容就介紹到這里了，感謝大家的閱讀。如果想了解更多行業相關的知識可以關注億速云網站，小編將為大家輸出更多高質量的實用文章！