VAST:一款功能強大的跨空間和時間的可視化網絡遙測引擎
責編:gltian |2021-06-02 12:46:46
關于VAST
VAST是一款功能強大的跨空間和時間的可視化網絡遙測引擎,可用于數據驅動的安全審查活動中。
核心功能
高流量數據處理:支持每秒導入超過10萬個事件的多種日志格式,包括Zeek、Suricata、JSON和CSV。
低延遲查詢:由于多級位圖索引和參與者模型并發性,整個數據池的響應時間為亞秒級,有助于對整個數據集進行即時指標檢查。
靈活的導出格式:訪問通用文本格式(ASCII、JSON、CSV)、二進制格式(MRT、PCAP)的數據。
強大的數據模型和查詢語言:通用半結構化數據模型允許以類型化方式表達復雜數據,可以通過特定于域的操作實現強大的數據子集設置,例如top-k前綴搜索IP地址和子集關系。
工具獲取
Linux用戶可以直接點擊【這里】或通過cURL下載最新版本的靜態源碼:
curl -L -O https://storage.googleapis.com/tenzir-public-data/vast-static-builds/vast-static-latest.tar.gz
接下來,我們需要手動解壓壓縮文檔。其中將包含三個目錄,即bin、etc和share。然后,我們需要直接在bin目錄中調用源碼:
tar xfz vast-static-latest.tar.gz bin/vast --help
如果想要直接在計算機中為本地主機安裝VAST,可以直接將代碼包解壓至/usr/local/文件夾中。
FreeBSD和macOS用戶則需要構建源碼,此時需要使用下列命令將該項目源碼克隆至本地:
git clone --recursive https://github.com/tenzir/vast
安裝好所有的依賴組件之后,我們就可以使用下列命令構建VAST了:
./configure cmake --build build cmake --build build --target test cmake --build build --target install cmake --build build --target integration
工具使用
開啟一個VAST節點:
vast start
導入Zeek日志:
zcat *.log.gz | vast import zeek
針對過去一小時的數據執行一次查詢,以JSON格式呈現結果:
vast export json ':timestamp > 1 hour ago && (6.6.6.6 || 5353/udp)'
導入一個PCAP包:
vast import pcap -c 1024 < trace.pcap
對PCAP數據執行一次查詢,以數據包時間排序,并導入至tcpdump:
vast export pcap "sport > 60000/tcp && src !in 10.0.0.0/8" ??| ipsumdump --collate -w - ??| tcpdump -r - -nl
項目地址
VAST:【GitHub傳送門】
參考資料
https://storage.googleapis.com/tenzir-public-data/vast-static-builds/vast-static-latest.tar.gz
https://github.com/tenzir/vast/blob/master/INSTALLATION.md
來源:FreeBuf.COM