ARTLAS(Apache Real Time Logs Analyzer System)是一个Apache日志实时分析器。它基于OWASP排名前10的漏洞,可识别对web应用程序发动的攻击,并能够通过Telegram, Zabbix和Syslog/SIEM通知你的事件响应小组。

ARTLAS使用PHP-IDS工程中的正则表达式来识别攻击,在这里可以下载到最新的版本。

ARTLASTelegram.jpg

支持的输出方式

Zabbix Version 2.4 and 3.0

SySlog

SIEM

Telegram

支持的web服务器

Apache

Apache vHost

Nginx

Nginx vHost

安装

克隆工程 

git clone https://github.com/mthbernardes/ARTLAS.git

安装依赖库 




	pip install -r dependencies.txt 





	python version 2.7.11(lastet)

安装screen 




	sudo apt-get install screen #Debian Like





	sbopkg -i screen    # Slackware 14.*





	yum install screen # CentOS/RHEL   





	dnf install screeen  # Fedora

配置

通过etc/artlas.conf文件进行配置

TELEGRAM配置




	[Telegram]





	api = 你的Token API





	group_id = 接收通知的Group/User ID





	enable = True表示发送通知,False表示不发送

ZABBIX配置




	[Zabbix]





	server_name = zabbix中的服务器主机名





	agentd_config = Zabbix agent配置文件





	enable_advantage_keys = True或者False,是否使用高级触发器





	notifications = true启用,false不启用触发器通知





	enable = true表示启用,false表示不启用

SYSLOG/SIEM配置 




	[CEF_Syslog]





	server_name = SySlog/SIEM服务器的IP地址或主机名





	enable = True或者False,是否启用

一般配置




	[General]





	apache_log = apache access.log的全路径





	apache_mask = 标识apache access log中的区域的掩码





	vhost_enable = True或者False,是否启用vhosts





	rules = etc/default_filter.json ,这是OWASP filter文件[不要修改]

运行 




	screen -S artlas





	python artlas.py





	CTRL+A+D

* 参考来源:github,felix编译