Windows AD日志分析平台WatchAD安装教程，

Windows AD日志分析平台WatchAD安装教程，

目录

• WatchAD介绍
• 安装环境
• WatchAD安装（日志分析端服务）
  • 基础环境配置
  • 安装WatchAD
  • 运行WatchAD
• WatchAD-web安装（Web监控端服务）
  • 下载WatchAD-Web源码
  • 修改配置
  • 进行编译
  • 安装

WatchAD介绍

WatchAD收集所有域控上的事件日志和kerberos流量，通过特征匹配、Kerberos协议分析、历史行为、敏感操作和蜜罐账户等方式来检测各种已知与未知威胁，功能覆盖了大部分目前的常见内网域渗透手法。该项目在360内部上线运行半年有余，发现多起威胁活动，取得了较好的效果。现决定开源系统中基于事件日志的检测部分。

项目地址：WatchAD

安装环境

• CentOS 7

WatchAD安装（日志分析端服务）

基础环境配置

安装WatchAD

运行WatchAD

执行命令：python3 WatchAD.py --start

WatchAD-web安装（Web监控端服务）

下载WatchAD-Web源码

git clone https://github.com/0Kee-Team/WatchAD-Web.git

修改配置

修改连接数据库的配置：

把{WatchAD-Web}/server/config/database_config.py 此文件中的127.0.0.1全改为WatchAD所在的服务器IP。

修改前端页面配置：

把WatchAD-Web/frontend/.env.production和WatchAD-Web/frontend/.env.development此文件中的127.0.0.1改为WatchAD-Web所在服务器的IP。我的WatchAD和WatchAD-Web搭建在一个服务器了，所以IP一样。

进行编译

进到下载WatchAD-Web目录，执行：docker-compose build，如果上一步的配置有修改或者代码有变动，需要重新执行此命令，下一步的docker-compose up才会对修改生效

注意：

编译时，报错：

ERROR: Service 'server' failed to build: The command '/bin/sh -c pip install -r requirements.txt -i https://pypi.tuna.tsinghua.edu.cn/simple' returned a non-zero code: 2

原因：因为环境中，pip默认指向的是python2.7版的。

解决办法：修改{WatchAD-Server}/server/Dockerfile文件中的pip为pip3 就可以了

安装

执行命令：docker-compose up -d
启动后，就可以访问WatchAD-Web前端页面了，地址：http://服务器ip/activity_timeline.html

参考链接：