北京快猫星云科技有限公司 Flashcat 产品技术交流 让监控分析变简单 INTERNAL OR RESTRICTED, ALL RIGHTS RESERVED © 北京快猫星云科技有限公司 由知名开源项⽬“夜莺”的核⼼开发团队组成： 夜莺是⼀款开源云原⽣监控⼯具，是中国计算机学会接受捐赠并托管的 第⼀个开源项⽬，在GitHub上有超过8500颗星，上百位社区贡献者， 上万家企业⽤户，是国内领先的开源可观测性解决⽅案。 Metrics、Logs、Traces、Events、Profiling 等多种可观测性数据融会贯通，并预置⾏业最佳实践， 既提供全局业务视⻆、技术视⻆的驾驶舱，也提供层层下钻的故障定位能⼒，有效缩短故障发现和定位 时间。 统一采集 INTERNAL OR RESTRICTED, ALL RIGHTS RESERVED © 北京快猫星云科技有限公司 All-in-One 的数据采集器 Categraf • 北京快猫星云科技有限公司 发现 真.故障 收敛 故障范围 引导下钻定位 引导下钻定位 北极星 灭⽕图 ⽇志分析 链路分析 事件分析 指标分析 容量分析 基础设施分析 。。。 引导定位 关键特征 关键事件 量化业务层的健康状态 量化IT系统层的健康状态 预置故障定位的最佳实 践，引导分析定位问题 串联打通，交互验证 数据融合，最佳路径 ⾯向稳定性保障场景 ⾯向业务视⻆的故障发现定位体系

智能运维场景描述 整体介绍 02 单维时间序列分析 异常检测 03 多维时间序列分析 多维下钻 目录 04 Metis 的研究方向 展望未来 智能运维（AIOps） 基于机器学习的智能运维 发现问题 • 时间序列异常 • 日志分析异常 • 设备性能异常 分析问题 • 多维下钻分析 • 关联事件分析 • 容量预估分析 解决问题 • 扩容 • 决策 • 调度 智能运维场景描述 整体介绍 02 单维时间序列分析 异常检测 03 多维时间序列分析 多维下钻 目录 04 Metis 的研究方向 展望未来 单维时间序列分析 海量时间序列 业务场景复杂 规则配置繁琐 1 2 3 时间序列异常检测 如何找到通用的解决方案？ 单维时间序列分析 规则类告警策略 最大值告警 最小值告警 波动率告警 单维时间序列分析 无监督异常检测算法 （自编码器） （自编码器） 原始数据 生成数据 单维时间序列分析 无监督异常检测算法 （N-Sigma） 单维时间序列分析 有监督异常检测算法 （特征工程） 时间序列的统计特征 • 最大值，最小值，值域 • 均值，中位数 • 方差，偏度，峰度 • 同比，环比，周期性 • 自相关系数，变异系数 时间序列的拟合特征 • 移动平均算法 • 带权重的移动平均算法 • 指数移动平均算法 •

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 1.1.13 动手时间 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 一组用户的权限（组） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 1.2.6 时间戳 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 日志后台守护进程（daemon） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138 9.3.2 日志分析 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1718 9 时间段语法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 使用宏可以使通知变得有意义和有用 • 自动化操作包括执行远程命令 实时图形 • 采集到的监控项值可以使用内置的绘图功能立即绘图 网络监控功能 • Zabbix 可以跟踪网站上的模拟鼠标点击路径并检查功能和响应时间 广泛的可视化选项 • 创建自定义图形的能力，可以将多个监控项组合成一个聚合图形 • 网络拓扑图 • 在仪表盘中显示幻灯片 • 报表 • 受监控资源的高级（业务）视图 历史数据存储 • 务的状态。现在还可以设置灵活的规则来将服务状态 传播到父服务。 服务权限 在用户角色 级别实现了对服务的灵活权限。可以向所有、无或选定的服务授予读写或只读访问权限（基于名称或标签）。 根本原因分析 一个新的 根本原因（Root cause）列显示了直接或间接影响服务状态的潜在问题。 如果您单击问题名称，您可以在 Monitoring → Problems 中查看有关它的更多详细信息。 服务状态变化告警

崩溃&卡顿 • 返回码 • 响应时间 • 错误率 服务端监控 ⽤用户端监控 如何推进？ 服务端监控 场景 分析监控场景对应监控⼿手段 类型 metric类型 ⽇日志类型 ⾃自定义类型 ⼿手段 时间序列列数据 ⽇日志处理理流 ⾃自研 ⽤用户端监控 apm ⾃自研 客户端 播放器器 如何推进？ 服务端监控 场景 分析监控场景对应监控⼿手段 类型 类型 metric类型 ⽇日志类型 ⾃自定义类型 ⼿手段 时间序列列数据 ⽇日志处理理流 ⾃自研 ⽤用户端监控 apm ⾃自研 客户端 播放器器 metric⽅方案选型 • 能覆盖⼤大部分监控场景 • 固定⼏几种数据类型 ✦ Counter ✦ Gauge ✦ 等.. • 时序数据 ✦ 具有统计特性 ✦ 具有规律律性 metric数据特征 metric数据特征 选型原则 • 基于开源⽅方案，⼆二次开发 • 具备现代时间序列列数据库的特性 • 活跃项⽬目,具有成熟的⽣生态环境 结论 • prometheus • ⽀支持任意维度label • cncf基⾦金金会 metric • 40w+/s的指标采集 • 10k+ 监控⽬目标 • 10+ prometheus节点 现状: • 性能 • ⾼高可⽤用 • 分布式

arpd 收集免费ARP信息 arping 通过发送ARP协议报文测试网络 arptables 管理ARP包过滤规则表 arpwatch 监听网络上ARP的记录 as 汇编语言编译器 at 在指定时间执行一个任务 atop 监控Linux系统资源与进程的工具 atq 列出当前用户的at任务列表 atrm 删除待执行任务队列中的指定任务 awk 文本和数据进行处理的编程语言 axel 多线程下载工具 把根目录换成指定的目的目录 chsh 用来更换登录系统时使用的shell cksum 检查文件的CRC是否正确 clear 清除当前屏幕终端上的任何信息 clock 用于调整 RTC 时间 clockdiff 检测两台linux主机的时间差 cmp 比较两个文件是否有差异 - 3 - 本文档使用 书栈网 · BookStack.CN 构建 col 过滤控制字符 colrm 删除文件中的指定列 comm curl 利用URL规则在命令行下工作的文件传输工具 cut 连接文件并打印到标准输出设备上 D date 显示或设置系统时间与日期 dd 复制文件并对原文件的内容进行转换和格式化处理 declare 声明变量，设置或显示变量的值和属性 depmod 分析可载入模块的相依性 df 显示磁盘的相关信息 dhclient 动态获取或释放IP地址 dhcpd 运行DHCP服务器 dhcrelay

所可能会⽤到的⼀些技术都做了详尽梳理说明 (后⾯可能还会整理出对应的完整⼯具链,虽然那 不是最主要的) 由于红队不同于⼀般的渗透测试, 强调更多的是如何搞进去拿到相应机器权限 或者 实现某特定⽬的 ⽽不局限于你⼀定要在什么时间, ⽤什么技术 或者 必须通过什么途径去搞,相⽐传统渗透测试,红队则更趋于真实的 ⼊侵活动 这种场景其实对防御者的 实战对抗经验 和 技术深度 都是⽐较⼤的挑战 所以,以下的所有技术点也⼏乎都是完全站在这种场景和⻆度下来考量梳理的 稍微改下,定制下, 现有的规则可能⻢上就防不住了,且⼀直会处于疲于应付的被动防御状态 尤其是针对红队这种特殊场景的,你的实际对⼿很可能都是有⼀定技术实⼒的⼈ 所以针对每种核⼼的攻击技术技术展开做深⼊分析, 直接从源头上进⾏防御才是最靠谱的 虽然说短期这种成本代价相对较⾼, 但⻓期来看, 是⼀劳永逸的, 沉淀下来的这些东⻄最终也会慢慢形成⾃⼰产品的 核⼼竞争⼒和特⾊ 说⽩点,这种对抗,本质上拼的还是双⽅的技术实⼒ 并顺⼿到各个社⼯库中去批量查询这些邮箱曾经是否泄露过密码 ] ⽬标⾃⼰对外提供的各种 技术⽂档 / wiki ⾥泄露的各种账号密码及其它敏感信息 ⽬标微信⼩程序 分析⽬标app Web请求 借助js探针搜集⽬标内⽹信息 想办法混⼊⽬标的各种 内部QQ群 / 微信群 分析⽬标直接供应商 [尤其是技术外包] 根据前⾯已搜集到的各类信息制作有针对性的弱⼝令字典 ⽬标所⽤ Waf 种类识别 与 绕过 BypassWAF

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 884 13 时间段选择器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1859 9 时间段语法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 使用宏可以使通知变得有意义和友好 • 自动化操作包括执行远程命令 实时图形 • 采集到的监控项值可以使用内置的绘图功能立即图形化 网络监控功能 • Zabbix 可以跟踪网站上的模拟鼠标点击的路径并检查功能和响应时间 丰富的可视化选项 • 创建自定义图形的能力，可以将多个监控项组合成一个聚合图形 • 网络拓扑图 • 在仪表盘中显示幻灯片 • 报表 • 被监控资源的高级（业务）视图 历史数据存储 •

免杀Payload生成工具Veil 第7章 权限提升 7.1 使用假冒令牌 7.2 本地权限提升 7.3 使用社会工程学工具包（SET） 7.4 使用SET实施攻击 第8章 密码攻击 8.1 密码在线破解 8.2 分析密码 8.3 破解LM Hashes密码 8.4 绕过Utilman登录 8.5 破解纯文本密码工具mimikatz 8.6 破解操作系统用户密码 8.7 创建密码字典 8.8 使用NVIDIA计算机统一设备架构（CUDA） Linux 安全渗透教程 作者：大学霸 大学霸 Kali Linux 安全渗透教程 4 介紹 第1章 Linux安全渗透简介 渗透测试是对用户信息安全措施积极评估的过程。通过系统化的操作和分析，积极 发现系统和网络中存在的各种缺陷和弱点，如设计缺陷和技术缺陷。本章将简要介 绍Linux安全渗透及安全渗透工具的相关内容。其主要知识点如下： 什么是安全渗透； 安全渗透所需的工具； Kali 渗透测试并没有一个标准的定义。国外一些安全组织达成共识的通用说法是，渗透 测试是通过模拟恶意黑客的攻击方法，来评估计算机网络系统安全的一种评估方 法，这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析。这个分析是从 一个攻击者可能存在的位置来进行的，并且从这个位置有条件主动利用安全漏洞。 渗透测试与其他评估方法不同。通常的评估方法是根据已知信息资源或其他被评估 对象，去发现所有相关的安全问题。渗透测试是根据已知可利用的安全漏洞，去发

的实时抢占 及抖动抑制，创新业务优先级 OOM 内存回收算法，保障在线业务安全可靠运行。 • 新文件系统 EulerFS：面向非易失性内存的新文件系统，采用软更新、目录双视图等技术减少文件元数据同步时间， 提升文件读写性能。 • 内存分级扩展 etMem：新增用户态 swap 功能，策略配置淘汰的冷内存交换到用户态存储，用户无感知，性能优于 内核态 swap。 • 内存 RAS 增强：内存 的管理体验。 • 安全容器方案：iSulad+shimv2+StratoVirt 安全容器方案，相比传统 Docker+Qemu 方案，底噪和启动时间优化 40%。 • 双平面部署工具 eggo：ARM/x86 双平面混合集群 OS 高效一键式安装，百节点部署时间 <15min。 新场景 • 边缘计算：发布面向边缘计算场景的版本 openEuler 22.03 LTS Edge，支持 KubeEdge KubeEdge + 边云协同框架，具备边云 应用统一管理和发放等基础能力。 • 嵌入式： 发布面向嵌入式领域的版本 openEuler 22.03 LTS Embedded，镜像大小 <5M，启动时间 <5S。 繁荣社区生态 • 友好桌面环境：UKUI、DDE 、Xfce、Kiran-desktop、GNOME 桌面环境，丰富社区桌面环境生态。 • 欧拉 DevKit：支持操作系统迁移、兼容性评估、简化安全配置