W3A SOCWeb 日志审计与网络监控

W3A SOC 基于日志安全分析做切入，做「安全运维工作台」，助力实现安全运维一体自动化，提升效率。

主要特性

• 日志分析: 基于kafka+GoLang的方式，对采集的Web和系统应用日志进行攻击行为的分析。
• 篡改监控: 基于Golang开发的页面篡改监控。
• 业务连续性监控: 基于网络的业务连续性监控服务，确定业务是否有中断。
• 告警整合: 实现钉钉、企业微信的联动告警机制。
• 部署支持：docker-compose、Kubernetes。
• 整体架构：基于 Filebeat(采集/清洗) + Kafka(汇聚) + ElasticSearch(检索)
• 技术实现：后端基于Java，前端基于Vue，数据库基于MYSQL。

目标

• 满足等保二级、三级的需求，直接部署就能用那种。
• 让客户少花钱，然后也能用，不串联到业务中，对业务0影响。
• 部署简单，一键部署，或者直接随着元豚科技生态自动部署。

Web日志分析

• 通过Logstash/filebeat采集日志到ES上。
• Golang通过开放平台，获取规则信息针对Kafka的日志进行实时分析。
• 将存在问题的部分直接存到平台里，平台只存落地的攻击日志、记录分析日志数。
• 攻击源IP地址分析，结合IP来源进行分析。
• 输出可以用于封禁的API接口，查可封禁的IP。

存活监控/篡改监控告警

• 针对提交的IP进行检测，看是否存活，可以分布式，持续的监测。
• 针对目标进行篡改监控。

问题告警

• 针对出现的问题，统一告警输出。
• 支持钉钉、企业微信。

界面如图：