momingliu11 - 博客园

2024年4月23日

摘要： --获取请求头中的字段值 txn.f:hdr(“x-forwarded-for”) txn.f:req_fhdr(“x-forwarded-for”) txn.http:req_get_headers()[“x-forwarded-for”][0] #添加/删除请求头中的字段 txn.http:re 阅读全文

posted @ 2024-04-23 16:39 momingliu11 阅读(1) 评论(0) 推荐(0) 编辑

2024年4月13日

Python发送企业微信消息

摘要：给某个用户发送文本消息 #! /usr/bin/env python # -*- coding: UTF-8 -*- import requests, sys class SendWeiXinWork(): def __init__(self): self.CORP_ID = "ww2w" # 企业阅读全文

posted @ 2024-04-13 00:14 momingliu11 阅读(4) 评论(0) 推荐(0) 编辑

2024年4月9日

Graylog配置告警

摘要： 1.新建Alert 添加Fields 添加2个字段，如下图所示：告警后可以显示字段值，如下：阅读全文

posted @ 2024-04-09 15:26 momingliu11 阅读(17) 评论(0) 推荐(0) 编辑

graylog Extractor

摘要：正则匹配：阅读全文

posted @ 2024-04-09 11:36 momingliu11 阅读(1) 评论(0) 推荐(0) 编辑

Winlogbeat配置收集Windows事件安全日志

摘要：收集安全日志，删除TargetUserName为计算机名称的事件 # Needed for Graylog fields_under_root: true fields.collector_node_id: AD1901 fields.gl2_source_collector: 1d7f1a6b-3 阅读全文

posted @ 2024-04-09 11:16 momingliu11 阅读(17) 评论(0) 推荐(0) 编辑

packetbeat配置

摘要： packetbeat配置文件： #################### Packetbeat Configuration Example ######################### # This file is an example configuration file highlight 阅读全文

posted @ 2024-04-09 11:01 momingliu11 阅读(4) 评论(0) 推荐(0) 编辑

2024年3月21日

Windows远程拷贝限制拷贝速度（限速）

摘要： 1、在需要拷贝文件的机器上安装SMB带宽限制功能： Add-WindowsFeature FS-SMBBW 2、限制SMB拷贝速度为1MB Set-SmbBandwidthLimit -Category Default -BytesPerSecond 1MB -Category参数：DefaultV 阅读全文

posted @ 2024-03-21 17:39 momingliu11 阅读(31) 评论(0) 推荐(0) 编辑

2024年3月15日

Kibana导出查询结果

摘要：查询Exchange服务器上的安全事件日志，通过攻击源客户端计算机名称，获取攻击源IP Visualize - 新建 - Datatable - 索引定义好过滤条件后，根据访问源IP进行分组，并统计访问次数，然后导出结果定义好过滤条件后，导出被爆破的用户名，并统计次数，然后导出结果通过直方图统阅读全文

posted @ 2024-03-15 10:39 momingliu11 阅读(54) 评论(0) 推荐(0) 编辑

通过nssm将PowerShell脚本注册为系统服务

摘要：登录Http://nssm.cc下载nssm程序 #将PowerShell脚本安装为Windows服务 $ServiceName = "GetUser" #指定服务名称 $PSPath = (Get-Command powershell).Source $PSScriptPath = "D:\Ope 阅读全文

posted @ 2024-03-15 10:03 momingliu11 阅读(14) 评论(0) 推荐(0) 编辑

2024年3月6日

AD或Exchange发现暴力破解，根据用户名溯源IP

摘要： 1、查询ad-sec日志，通过username获取到客户端计算机名称或IP，NTLM验证无法获取到IP，只有计算机名称（客户端计算机可以位于公网） ad-netlogon日志里面，也可以查询到计算机名称2、查询mail-sec日志，可以根据 source.domain is 客户端计算机名称，查询到阅读全文

posted @ 2024-03-06 14:03 momingliu11 阅读(9) 评论(0) 推荐(0) 编辑