Day-244-日志收集与分析技术

# Day 267: 日志收集与分析技术

> 应急响应系列第 7 天 | 预计阅读时间：35 分钟 | 难度：★★★★☆

---

## 清单 目录

1. [日志概述](#日志概述)
2. [日志收集架构](#日志收集架构)
3. [Windows 日志分析](#windows 日志分析)
4. [Linux 日志分析](#linux 日志分析)
5. [应用日志分析](#应用日志分析)
6. [日志关联分析](#日志关联分析)
7. [日志取证实战](#日志取证实战)
8. [总结与思考](#总结与思考)
9. [参考资料](#参考资料)

---

## 日志概述

### 日志在应急响应中的价值

日志是应急响应的"黑匣子"，记录了系统中发生的所有活动：

| 价值 | 说明 | 示例 |
|------|------|------|
| **事件检测** | 发现异常行为 | 多次登录失败 |
| **事件调查** | 还原攻击过程 | 攻击时间线重建 |
| **影响评估** | 确定受影响范围 | 被访问的系统列表 |
| **证据支持** | 法律程序证据 | 审计追踪记录 |
| **恢复验证** | 确认威胁已清除 | 无异常活动记录 |

### 日志类型分类

#### 按来源分类

```
                    ┌─────────────────┐
                    │     日志源      │
                    └────────┬────────┘
           ┌─────────────────┼─────────────────┐
           │                 │                 │
           ▼                 ▼                 ▼
    ┌─────────────┐  ┌─────────────┐  ┌─────────────┐
    │  系统日志   │  │  应用日志   │  │  安全日志   │
    └──────┬──────┘  └──────┬──────┘  └──────┬──────┘
           │                 │                 │
    ┌──────┴──────┐  ┌──────┴──────┐  ┌──────┴──────┐
    │ Windows 事件 │  │ Web 服务器  │  │ 防火墙日志 │
    │ Linux syslog │  │ 数据库日志 │  │ IDS/IPS   │
    │ 审计日志    │  │ 邮件服务器 │  │ 认证日志   │
    └─────────────┘  └─────────────┘  └─────────────┘
```

#### 按用途分类

| 类型 | 内容 | 保留期限 |
|------|------|----------|
| **安全日志** | 登录、权限变更、策略变更 | 至少 1 年 |
| **系统日志** | 系统事件、服务状态、错误 | 至少 6 个月 |
| **应用日志** | 应用操作、业务交易 | 根据业务需求 |
| **审计日志** | 用户操作、数据访问 | 至少 1 年 |

### 日志质量要求

| 要求 | 说明 | 检查方法 |
|------|------|----------|
| **完整性** | 记录所有相关事件 | 检查日志连续性 |
| **准确性** | 时间戳准确、内容正确 | 时间同步验证 |
| **一致性** | 格式统一、字段完整 | 日志标准化检查 |
| **可用性** | 可搜索、可分析 | 查询性能测试 |

---

## 日志收集架构

### 收集架构模式

#### 集中式收集

```
┌─────────┐    ┌─────────┐    ┌─────────┐    ┌─────────┐
│ 主机 A  │    │ 主机 B  │    │ 主机 C  │    │ 设备 D  │
└────┬────┘    └────┬────┘    └────┬────┘    └────┬────┘
     │              │              │              │
     └──────────────┴──────────────┴──────────────┘
                                    │
                                    ▼
                          ┌─────────────────┐
                          │   日志收集器    │
                          │   (SIEM/ELK)   │
                          └─────────────────┘
```

**优点**：
- 统一管理
- 便于关联分析
- 日志安全性高

**缺点**：
- 单点故障风险
- 网络带宽要求高

#### 分布式收集

```
┌─────────┐    ┌─────────┐
│ 主机 A  │    │ 主机 B  │
└────┬────┘    └────┬────┘
     │              │
     ▼              ▼
┌─────────┐    ┌─────────┐
│ 代理 A  │    │ 代理 B  │
└────┬────┘    └────┬────┘
     │              │
     └──────────────┘
            │
            ▼
    ┌───────────────┐
    │   中央存储    │
    └───────────────┘
```

**优点**：
- 本地缓存，抗网络中断
- 预处理减轻中央压力

**缺点**：
- 代理管理复杂
- 配置一致性难保证

### 常见收集方案

#### Syslog 方案

**适用**：Linux/Unix 设备、网络设备

**组件**：
- rsyslog/syslog-ng：日志守护进程
- UDP 514/TCP 514：传输协议

**配置示例**（rsyslog）：
```bash
# /etc/rsyslog.conf

# 远程日志服务器
*.* @192.168.1.100:514

# 按设施分类存储
auth,authpriv.*                 /var/log/auth.log
*.*;auth,authpriv.none          /var/log/syslog
```

#### Windows Event Forwarding

**适用**：Windows 环境

**架构**：
- 收集器：订阅和存储日志
- 订阅者：发送日志的计算机

**配置要点**：
- 使用 HTTPS 传输
- 配置适当的订阅过滤器
- 确保时间同步

#### Beats + ELK 方案

**适用**：混合环境、云环境

**组件**：
- Filebeat：日志收集
- Metricbeat：指标收集
- Winlogbeat：Windows 事件
- Logstash：日志处理
- Elasticsearch：存储和搜索
- Kibana：可视化

**Filebeat 配置示例**：
```yaml
filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /var/log/*.log
  fields:
    environment: production
    
- type: winlog
  event_logs:
    - Security
    - System
    - Application

output.elasticsearch:
  hosts: ["localhost:9200"]
```

### 日志标准化

#### CEF 格式（Common Event Format）

```
CEF:0|Security|Firewall|1.0|100|Connection Allowed|5|src=192.168.1.100 dst=10.0.0.1 spt=12345 dpt=443
```

**字段说明**：
- CEF 版本
- 厂商 | 产品 | 版本
- 签名 ID | 名称 | 严重程度
- 扩展字段

#### LEEF 格式（Log Event Extended Format）

IBM 开发的类似标准，用于 QRadar 等产品。

### 日志保留策略

| 日志类型 | 在线存储 | 近线存储 | 离线归档 |
|----------|----------|----------|----------|
| 安全日志 | 30 天 | 90 天 | 1 年 |
| 系统日志 | 14 天 | 30 天 | 6 个月 |
| 应用日志 | 7 天 | 30 天 | 按需 |
| 审计日志 | 30 天 | 90 天 | 3 年 |

---

## Windows 日志分析

### Windows 事件日志结构

```
┌─────────────────────────────────────────────────────────────┐
│                    Windows 事件日志                          │
├─────────────────────────────────────────────────────────────┤
│  事件 ID   │   级别   │    日志源    │      描述           │
├─────────────────────────────────────────────────────────────┤
│   4624    │  信息    │   Security   │   登录成功          │
│   4625    │  警告    │   Security   │   登录失败          │
│   4672    │  信息    │   Security   │   特殊权限分配      │
│   4688    │  信息    │   Security   │   进程创建          │
│   4698    │  信息    │   Security   │   计划任务创建      │
│   4720    │  信息    │   Security   │   用户账户创建      │
│   4732    │  信息    │   Security   │   添加到管理员组    │
│   4740    │  警告    │   Security   │   账户锁定          │
│   4767    │  警告    │   Security   │   账户解锁          │
│   4768    │  信息    │   Security   │   Kerberos TGT 请求 │
│   4769    │  信息    │   Security   │   Kerberos 服务票请求│
│   4771    │  警告    │   Security   │   Kerberos 认证失败 │
│   4776    │  信息    │   Security   │   NTLM 认证        │
│   4778    │  信息    │   Security   │   会话重新连接      │
│   4779    │  信息    │   Security   │   会话断开连接      │
│   4798    │  信息    │   Security   │   用户组成员枚举    │
│   4799    │  信息    │   Security   │   安全启用组成员枚举│
│   4902    │  信息    │   Security   │   每用户策略表创建  │
│   4904    │  信息    │   Security   │   安全日志尝试访问  │
│   4905    │  信息    │   Security   │   安全日志尝试访问  │
│   4964    │  信息    │   Security   │   特殊组已分配      │
│   5140    │  信息    │   Security   │   网络共享对象访问  │
│   5142    │  信息    │   Security   │   网络共享对象添加  │
│   5145    │  信息    │   Security   │   网络共享对象访问  │
│   6005    │  信息    │   System     │   事件日志服务启动  │
│   6006    │  信息    │   System     │   事件日志服务停止  │
│   6008    │  错误    │   System     │   意外关机          │
│   7001    │  错误    │   System     │   服务启动失败      │
│   7034    │  错误    │   System     │   服务意外终止      │
│   7045    │  信息    │   System     │   新服务安装        │
└─────────────────────────────────────────────────────────────┘
```

### 关键安全事件详解

#### 登录事件（4624/4625）

**4624 登录成功关键字段**：
```
Account Name: administrator
Account Domain: EXAMPLE
Logon ID: 0x3e7
Logon Type: 2 (交互式)
Process Name: C:\Windows\System32\logonui.exe
Source Network Address: -
Source Port: -
```

**登录类型说明**：
| 类型 | 说明 | 安全关注 |
|------|------|----------|
| 2 | 交互式登录（本地） | 中 |
| 3 | 网络登录 | 高 |
| 4 | 批处理登录 | 中 |
| 7 | 解锁（屏幕解锁） | 低 |
| 10 | 远程桌面 | 高 |

**4625 登录失败分析**：
```
Failure Information:
  Failure Reason: Unknown user name or bad password.
  Status: 0xc000006d
  Sub Status: 0xc000006a (密码不正确)

Process Information:
  Process Name: C:\Windows\System32\svchost.exe
  Caller Process Name: -

Network Information:
  Workstation Name: -
  Source Network Address: 192.168.1.100
  Source Port: 12345
```

**暴力破解检测规则**：
```
条件：
- 同一源 IP 在 5 分钟内产生 10 次以上 4625 事件
- 针对同一目标账户
- Sub Status 为 0xc000006a

行动：
- 告警 P2
- 临时封锁源 IP
- 通知账户所有者
```

#### 进程创建事件（4688）

**启用命令行审计**：
```
组策略 → 计算机配置 → Windows 设置 → 安全设置 → 
高级审计策略 → 系统审计策略 → 详细进程跟踪 → 
审核进程创建（包含命令行）
```

**4688 事件分析**：
```
New Process Name: C:\Windows\System32\cmd.exe
New Process ID: 0x1a3c
Process Command Line: cmd.exe /c powershell -enc xxxxx

Token Elevation Type: TokenElevationTypeDefault (2)
Creator Process Name: C:\Windows\explorer.exe
```

**可疑进程检测**：
| 指标 | 说明 |
|------|------|
| 异常父进程 | cmd.exe 由非系统进程启动 |
| 编码命令 | PowerShell -enc 参数 |
| 可疑路径 | 从临时目录执行 |
| 异常用户 | 服务账户执行交互式命令 |

#### 账户管理事件

| 事件 ID | 说明 | 检测要点 |
|---------|------|----------|
| 4720 | 创建用户账户 | 是否有变更审批 |
| 4722 | 用户账户启用 | 是否未经授权使用 |
| 4723/4724 | 密码更改/重置 | 是否异常时间/地点 |
| 4725/4726 | 账户禁用/删除 | 是否攻击者清理痕迹 |
| 4732/4733 | 添加到/从本地组移除 | 是否添加到管理员组 |
| 4756/4757 | 添加到/从全局组移除 | 权限变更 |

### Sysmon 日志分析

**Sysmon 关键事件**：

| Event ID | 说明 | 检测价值 |
|----------|------|----------|
| 1 | 进程创建 | 高 |
| 2 | 创建文件时间修改 | 中（反取证检测） |
| 3 | 网络连接 | 高 |
| 5 | 进程终止 | 中 |
| 6 | 驱动加载 | 高（rootkit 检测） |
| 7 | 镜像加载 | 中（DLL 注入检测） |
| 8 | 创建远程线程 | 高（进程注入检测） |
| 9 | 原始注册表访问 | 中 |
| 10 | 进程访问其他进程 | 高（凭证窃取检测） |
| 11 | 文件创建 | 中 |
| 12 | 注册表对象创建/删除 | 中 |
| 13 | 注册表值设置 | 中 |
| 14 | 注册表对象重命名 | 中 |
| 15 | 创建文件流 | 中（数据隐藏检测） |
| 16 | Sysmon 配置变更 | 高（攻击者禁用检测） |
| 17 | 管道创建 | 中 |
| 18 | 管道连接 | 中 |
| 22 | DNS 查询 | 高 |
| 23 | 文件删除 | 中（痕迹清理检测） |
| 24 | 剪贴板更改 | 中（数据窃取检测） |
| 25 | 进程标签 | 低 |
| 26 | 文件删除检测 | 中 |
| 27 | 文件可执行性更改 | 中 |
| 28 | 文件时间修改 | 中 |

**Sysmon 配置建议**：
```xml
<Sysmon schemaversion="4.81">
  <HashAlgorithms>md5,sha256</HashAlgorithms>
  <CheckRevocation>False</CheckRevocation>
  
  <EventFiltering>
    
    <RuleGroup groupRelation="or">
      <ProcessCreate onmatch="include">
        <CommandLine condition="contains">powershell</CommandLine>
        <CommandLine condition="contains">cmd.exe</CommandLine>
        <Image condition="end with">.exe</Image>
      </ProcessCreate>
    </RuleGroup>
    
    
    <RuleGroup groupRelation="or">
      <NetworkConnect onmatch="include">
        <DestinationPort condition="is">443</DestinationPort>
        <DestinationPort condition="is">80</DestinationPort>
        <DestinationPort condition="is">53</DestinationPort>
      </NetworkConnect>
    </RuleGroup>
  </EventFiltering>
</Sysmon>
```

### PowerShell 日志分析

**启用 PowerShell 日志**：
```
组策略 → 计算机配置 → 管理模板 → Windows 组件 → 
Windows PowerShell

启用：
- 打开模块日志记录
- 打开脚本块日志记录
- 打开详细日志记录
```

**日志位置**：
```
Applications and Services Logs → 
Microsoft → Windows → PowerShell

- PowerShell/Operational (事件 ID 400,401,403,404)
- PowerShellCore/Operational
```

**关键事件**：
| 事件 ID | 说明 |
|---------|------|
| 400 | 引擎生命周期 |
| 401 | 控制台创建 |
| 402 | 控制台关闭 |
| 403 | 执行命令 |
| 404 | 记录命令行参数 |
| 4104 | 脚本块日志（重要） |

**可疑 PowerShell 检测**：
```powershell
# 检测编码命令
Get-WinEvent -LogName "Microsoft-Windows-PowerShell/Operational" | 
Where-Object {$_.Id -eq 4104 -and $_.Message -match "-enc|-encodedcommand"}

# 检测下载执行
Get-WinEvent -LogName "Microsoft-Windows-PowerShell/Operational" | 
Where-Object {$_.Message -match "IEX|Invoke-Expression|DownloadString"}

# 检测绕过执行策略
Get-WinEvent -LogName "Microsoft-Windows-PowerShell/Operational" | 
Where-Object {$_.Message -match "Bypass|Unrestricted"}
```

---

## Linux 日志分析

### 主要日志文件

| 日志文件 | 内容 | 重要性 |
|----------|------|--------|
| /var/log/auth.log | 认证日志（Debian） | 高 |
| /var/log/secure | 认证日志（RHEL） | 高 |
| /var/log/syslog | 系统日志（Debian） | 高 |
| /var/log/messages | 系统日志（RHEL） | 高 |
| /var/log/kern.log | 内核日志 | 中 |
| /var/log/cron | 计划任务 | 中 |
| /var/log/apache2/ | Web 日志 | 高 |
| /var/log/nginx/ | Web 日志 | 高 |
| /var/log/mysql/ | 数据库日志 | 高 |
| ~/.bash_history | 用户命令历史 | 高 |

### 认证日志分析

#### SSH 登录日志

**成功登录**：
```
Apr 12 10:30:15 server sshd[12345]: Accepted publickey for admin from 192.168.1.100 port 54321 ssh2
```

**失败登录**：
```
Apr 12 10:30:20 server sshd[12346]: Failed password for admin from 192.168.1.100 port 54322 ssh2
Apr 12 10:30:21 server sshd[12347]: Failed password for invalid user root from 192.168.1.100 port 54323 ssh2
```

**暴力破解检测**：
```bash
# 统计失败登录次数
grep "Failed password" /var/log/auth.log | \
awk '{print $(NF-3)}' | sort | uniq -c | sort -rn

# 检测暴力破解（5 分钟内 10 次以上失败）
grep "Failed password" /var/log/auth.log | \
awk '{print $1, $2, $3, $(NF-3)}' | \
sort | uniq -c | sort -rn | head -20
```

#### sudo 日志

**sudo 使用记录**：
```
Apr 12 11:00:00 server sudo: admin : TTY=pts/0 ; PWD=/home/admin ; USER=root ; COMMAND=/bin/bash
```

**可疑 sudo 检测**：
```bash
# 查看 sudo 使用历史
grep "sudo:" /var/log/auth.log | grep -v "COMMAND"

# 查看特权命令执行
grep "sudo:" /var/log/auth.log | grep "COMMAND"
```

### 系统日志分析

#### 服务异常

```bash
# 查看服务启动失败
grep -i "failed\|error" /var/log/syslog | grep -i "service"

# 查看意外关机
grep -i "shutdown\|poweroff\|reboot" /var/log/syslog

# 查看内核错误
grep -i "error\|critical" /var/log/kern.log
```

#### 计划任务分析

```bash
# 查看 cron 执行日志
grep "CRON" /var/log/syslog

# 查看 crontab 变更
grep -i "crontab" /var/log/auth.log

# 检查可疑计划任务
cat /etc/crontab
ls -la /etc/cron.*
crontab -l
```

### 命令历史分析

```bash
# 查看当前用户历史
history

# 查看所有用户历史
for user in /home/*; do 
  echo "=== $user ==="
  cat $user/.bash_history 2>/dev/null
done

# 检测数据外传命令
grep -E "scp|rsync|curl.*-d|wget.*--post" ~/.bash_history
```

### auditd 日志分析

**启用 auditd**：
```bash
# 安装 auditd
apt install auditd  # Debian/Ubuntu
yum install audit   # RHEL/CentOS

# 监控关键文件
auditctl -w /etc/passwd -p wa -k passwd_changes
auditctl -w /etc/shadow -p wa -k shadow_changes
auditctl -w /etc/sudoers -p wa -k sudoers_changes

# 监控敏感命令
auditctl -a exit,always -F arch=b64 -S execve -k exec_monitoring
```

**查询 audit 日志**：
```bash
# 查看特定密钥的日志
ausearch -k passwd_changes

# 查看特定用户的活动
ausearch -i -ua admin

# 查看特定命令的执行
ausearch -c bash
```

---

## 应用日志分析

### Web 服务器日志

#### Apache/Nginx 日志格式

**访问日志**：
```
192.168.1.100 - - [12/Apr/2024:10:30:15 +0800] "GET /admin/login.php HTTP/1.1" 200 1234 "-" "Mozilla/5.0"
```

**错误日志**：
```
[Sat Apr 12 10:30:15.123456 2024] [error] [client 192.168.1.100] PHP Warning: mysql_query(): ...
```

#### Web 攻击检测

# 常见 SQL 注入特征
grep -E "1=1|1'='1|' OR '1'='1|admin'--" /var/log/nginx/access.log
```

**XSS 攻击检测**：
```bash
grep -E "<script|javascript:|onerror=|onload=|alert\(" /var/log/nginx/access.log
```

**目录遍历检测**：
```bash
grep -E "\.\./|\.\.\\|%2e%2e%2f|%252e%252e%252f" /var/log/nginx/access.log
```

# 检测高频访问（可能为扫描）
awk '{print $1}' /var/log/nginx/access.log | sort | uniq -c | sort -rn | head -10
```

### 数据库日志

#### MySQL 慢查询日志

```
# Time: 2024-04-12T10:30:15.123456Z
# User@Host: admin[admin] @ localhost []
# Query_time: 10.000123  Lock_time: 0.000012 Rows_sent: 10000  Rows_examined: 1000000
SELECT * FROM large_table WHERE ...;
```

#### MySQL 通用日志

```bash
# 启用通用日志
SET GLOBAL general_log = 'ON';
SET GLOBAL general_log_file = '/var/log/mysql/mysql.log';

# 检测异常查询
grep -E "SELECT.*INTO OUTFILE|LOAD_FILE|UNION.*SELECT" /var/log/mysql/mysql.log
```

### 邮件服务器日志

#### Postfix 日志

```bash
# 查看邮件队列
mailq

# 查看邮件日志
tail -f /var/log/mail.log

# 检测垃圾邮件暴发
grep "status=sent" /var/log/mail.log | \
awk '{print $NF}' | sort | uniq -c | sort -rn | head -10

# 检测认证失败
grep "authentication failed" /var/log/mail.log
```

---

## 日志关联分析

### 关联分析场景

#### 横向移动检测

**关联规则**：
```
IF 
  用户 A 在时间 T1 登录主机 1
  AND 用户 A 在时间 T2 从主机 1 登录主机 2
  AND T2 - T1 < 5 分钟
  AND 主机 2 不在用户 A 的正常访问列表中
THEN
  告警：可能的横向移动
```

**实现示例**（Splunk SPL）：
```splunk
index=security EventID=4624
| stats min(_time) as first_login, max(_time) as last_login, 
        values(host) as hosts by AccountName
| where mvcount(hosts) > 1
| eval time_span = last_login - first_login
| where time_span < 300
| table AccountName, hosts, time_span
```

#### 数据外传检测

**关联规则**：
```
IF
  大量文件访问（文件服务器日志）
  AND 大量网络外连（防火墙日志）
  AND 非工作时间（时间条件）
THEN
  告警：可能的数据外传
```

#### 攻击链重建

**时间线重建**：
```
1. 初始访问：Web 日志显示 SQL 注入成功
2. 权限提升：系统日志显示 sudo 执行
3. 持久化：安全日志显示计划任务创建
4. 横向移动：多台主机登录日志
5. 数据窃取：数据库日志显示大量查询 + 防火墙显示外连
```

### 关联分析工具

| 工具 | 类型 | 特点 |
|------|------|------|
| **Splunk** | 商业 SIEM | 强大的搜索和关联能力 |
| **Elastic SIEM** | 开源 SIEM | 灵活、可扩展 |
| **QRadar** | 商业 SIEM | 内置关联规则丰富 |
| **ArcSight** | 商业 SIEM | 企业级、规则引擎强大 |

---

## 日志取证实战

### 时间线重建

**步骤**：
1. 收集所有相关日志
2. 统一时间格式和时区
3. 按时间排序
4. 识别关键事件
5. 构建攻击时间线

**示例命令**：
```bash
# 合并多个日志文件并排序
cat /var/log/auth.log /var/log/syslog /var/log/nginx/access.log | \
sort -k1,3 > /tmp/merged_timeline.log

# 提取特定时间段
awk '$1 == "Apr" && $2 == 12 && $3 >= "10:00:00" && $3 <= "12:00:00"' /var/log/auth.log
```

### 日志完整性验证

```bash
# 检查日志是否有间隙
# 方法：检查时间戳连续性

# 检查日志是否被修改
# 方法：比较当前日志与备份的哈希值

# 检查日志服务状态
systemctl status rsyslog
systemctl status syslog-ng
```

### 日志提取和保存

```bash
# 提取特定事件
grep "Failed password" /var/log/auth.log > /evidence/failed_logins.log

# 计算哈希值
sha256sum /evidence/failed_logins.log > /evidence/failed_logins.log.sha256

# 创建证据包
tar -czf /evidence/logs_$(date +%Y%m%d_%H%M%S).tar.gz /evidence/*.log
```

---

## 总结与思考

### 核心要点回顾

1. **日志是调查的基础** - 没有日志，调查如同盲人摸象

2. **收集覆盖要全面** - 系统、应用、安全日志缺一不可

3. **标准化便于分析** - 统一格式和时区

4. **关联分析发现复杂攻击** - 单一日志难以发现 APT

5. **完整性至关重要** - 日志被篡改意味着调查困难

### 实战建议

1. **立即检查日志配置** - 确保关键日志已启用

2. **建立基线** - 了解正常日志模式

3. **自动化分析** - 使用 SIEM 或脚本自动检测

4. **定期演练** - 用红队演练验证日志收集效果

5. **保护日志** - 集中存储、写保护、定期备份

---

## 参考资料

### 学习资源

- **SANS Log Management** - https://www.sans.org/security-resources/
- **Microsoft Windows Event Log** - 官方文档
- **Linux Audit Framework** - https://github.com/linux-audit/audit-userspace

### 工具资源

- **Splunk** - https://www.splunk.com/
- **Elastic SIEM** - https://www.elastic.co/siem
- **Sysmon** - https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon
- **Wazuh** - https://wazuh.com/

---

*365 天信息安全技术系列 | Day 267 | 日志收集与分析技术*