FireKylin介绍及下载
工具介绍请见帖子:应急响应工具(系统痕迹采集)-FireKylin
FireKylin使用教程
界面主要分为两大板块,左侧主要显示主机的基本信息,右侧则是分析主机上用户、进程、启动项、服务、网络、计划任务、系统日志、病毒检测等8个关键数据。
Agent支持灵活配置采集任务,不仅可以对任务进行开关,也可以针对日志采集进行时间段采集配置,提升采集效率和精确度。
使用时将“Agent”文件夹下的Windows和Linux采集程序及脚本上传到对应的服务器主机
执行相应的脚本和程序(演示截图为Windows)
Agent配置:
start 开启任务。
print或者ls 打印任务配置。
1=false或者user=false是关闭用户采集任务,其他的雷同。
start 开启任务,等待任务结束后会生成fkld文件和log文件
最后只需要将fkld文件下载到本地,并使用FireKylin程序加载文件即可得到详细的可视化主机信息了,方便我们进行溯源
总结
教程就到此,除了系统预置的采集时间和信息,还可以支持自定义采集信息和采集时间;那更多的功能就自己摸索吧!
此工具可以将服务器的各种日志、进程信息等都进行可视化显示,大大的方便了安全人员的排查工作。