介绍
近期遇到了几次应急的情况,在过程中必定要进行一些日志的采集与分析工作,在大佬的文章分享中发现了一个工具挺不错的,可以实现半自动化的采集与分析,测试了后觉得特别实用,这里记录一下。
FireKylin中文名称叫:火麒麟,其功能是收集操作系统各项痕迹,支持Windows和Linux痕迹收集。作用是为分析研判安全事件提供操作系统数据。目的是让任何有上机排查经验和无上机排查经验的人都可以进行上机排查安全事件。
在应对安全事件上机排查时,对于没有此方面经验但是有研判能力的安全专家来讲,经常苦于需要参考各种安全手册进行痕迹采集、整理、研判,此时我们可以使用FireKylin-Agent进行一键痕迹收集,降低排查安全专家收集工作的难度。
FireKylin的使用方式很简单,将Agent程序上传到需要检测的主机上,运行Agent程序,将采集到的数据.fkld文件下载下来,用界面程序加载数据就可以查看主机中的用户、进程、服务等信息,并且Agent最大的特点就是【0命令采集】对安装了监控功能的安全软件的主机来讲是非常友好的,不会对监控软件产生引起“误报安全事件”的命令。下载
https://github.com/MountCloud/FireKylin/releases
不限速下载:
界面
Agent支持Linux、Windows操作系统,Gui则只支持Windows操作系统。
GUI
Agent
如何使用
只在对应的系统中执行agent脚本,将会生成fkld后缀文件,在GUI界面加载数据文件即可分析。
如果默认的语言是英文,需要在Settings->Language->选择zh-cn点SetLanguage。选择完语言会自动重启GUI,然后就是中文的啦。