Teler实时HTTP入侵检测工具使用指南

一、Teler简介

Teler是一个基于Web日志的实时入侵检测命令行工具，能够帮助研究人员实时进行HTTP入侵检测并发出威胁警报。该工具基于社区内多个项目和资源实现功能，是一个快速的基于终端的威胁分析工具。

二、核心功能

实时分析：支持对日志进行实时分析，实时识别可疑活动
警报系统：检测到威胁时可通过Slack、Telegram和Discord等工具推送通知
监控能力：提供威胁指标监控，使用Prometheus实现
资源更新：内置资源会持续更新
灵活的日志格式：支持任意自定义日志格式字符串
增量日志处理：可通过磁盘上的持久性选项以增量方式处理日志记录

三、安装方法

1. 二进制代码安装

curl -sSfL 'https://ktbs.dev/get-teler.sh' | sh -s -- -b /usr/local/bin

或从Releases页面下载预构建的二进制文件

2. Docker安装

docker pull kitabisa/teler

3. 源码安装（需Go v1.14+环境）

GO111MODULE=on go get -v -u ktbs.dev/teler/cmd/teler

更新工具：

go get -u ktbs.dev/teler/cmd/teler

4. GitHub安装

git clone https://github.com/kitabisa/teler
cd teler
make build
mv ./bin/teler /usr/local/bin

四、基本使用

1. 标准用法

[buffers] | teler -c /path/to/config/teler.yaml
# 或
teler -i /path/to/access.log -c /path/to/config/teler.yaml

2. Docker用法

[buffers] | docker run -i --rm -e TELER_CONFIG=/path/to/config/teler.yaml teler
# 或
docker run -i --rm -e TELER_CONFIG=/path/to/config/teler.yaml teler --input /path/to/access.log

五、命令行选项

选项	描述	示例
`-c, --config`	指定Teler配置文件	`kubectl logs nginx
`-i, --input`	指定日志文件进行分析	`teler -i /var/log/nginx/access.log`
`-x, --concurrent`	设置分析日志的并发级别（默认20）	`tail -f /var/log/nginx/access.log
`-o, --output`	将检测到的威胁存储至文件	`teler -i /var/log/nginx/access.log -o /tmp/threats.log`
`--json`	以JSON格式显示威胁信息	`teler -i /var/log/nginx/access.log --json`
`--rm-cache`	删除所有缓存资源	`teler --rm-cache`
`-v, --version`	显示当前Teler版本	`teler -v`

六、通知推送配置

1. 通知服务配置示例

notifications:
  slack:
    token: "xoxb-..."
    color: "#ffd21a"
    channel: "G30SPKI"
  telegram:
    token: "123456:ABC-DEF1234"
    chat_id: "-111000"
  discord:
    token: "NkWkawkawkawkawka.X0xo.n-kmZwA8aWAA"
    color: "16312092"
    channel: "700000000000000..."

2. 警报配置

alert:
  active: true
  provider: "slack"  # 可选: slack, telegram, discord

七、演示视频

Buffer-streams场景演示：点我观看
Incremental场景演示：点我观看

八、许可证

本项目遵循Apache开源许可证协议。

九、项目地址

GitHub仓库：Teler GitHub传送门

十、最佳实践建议

日志格式配置：根据实际Web服务器日志格式调整配置文件
并发级别调整：根据服务器性能调整-x参数值
定期更新：使用go get -u命令定期更新工具以获取最新威胁数据库
通知集成：建议至少配置一种通知方式以确保及时获取警报
持久化存储：对于大型日志文件考虑使用增量处理模式

Teler实时HTTP入侵检测工具使用指南一、Teler简介 Teler是一个基于Web日志的实时入侵检测命令行工具，能够帮助研究人员实时进行HTTP入侵检测并发出威胁警报。该工具基于社区内多个项目和资源实现功能，是一个快速的基于终端的威胁分析工具。二、核心功能实时分析：支持对日志进行实时分析，实时识别可疑活动警报系统：检测到威胁时可通过Slack、Telegram和Discord等工具推送通知监控能力：提供威胁指标监控，使用Prometheus实现资源更新：内置资源会持续更新灵活的日志格式：支持任意自定义日志格式字符串增量日志处理：可通过磁盘上的持久性选项以增量方式处理日志记录三、安装方法 1. 二进制代码安装或从 Releases页面下载预构建的二进制文件 2. Docker安装 3. 源码安装（需Go v1.14+环境）更新工具： 4. GitHub安装四、基本使用 1. 标准用法 2. Docker用法五、命令行选项 | 选项 | 描述 | 示例 | |------|------|------| | -c, --config | 指定Teler配置文件 | kubectl logs nginx | teler -c /path/to/config/teler.yaml | | -i, --input | 指定日志文件进行分析 | teler -i /var/log/nginx/access.log | | -x, --concurrent | 设置分析日志的并发级别（默认20） | tail -f /var/log/nginx/access.log | teler -x 50 | | -o, --output | 将检测到的威胁存储至文件 | teler -i /var/log/nginx/access.log -o /tmp/threats.log | | --json | 以JSON格式显示威胁信息 | teler -i /var/log/nginx/access.log --json | | --rm-cache | 删除所有缓存资源 | teler --rm-cache | | -v, --version | 显示当前Teler版本 | teler -v | 六、通知推送配置 1. 通知服务配置示例 2. 警报配置七、演示视频 Buffer-streams场景演示：点我观看 Incremental场景演示：点我观看八、许可证本项目遵循Apache开源许可证协议。九、项目地址 GitHub仓库： Teler GitHub传送门十、最佳实践建议日志格式配置：根据实际Web服务器日志格式调整配置文件并发级别调整：根据服务器性能调整 -x 参数值定期更新：使用 go get -u 命令定期更新工具以获取最新威胁数据库通知集成：建议至少配置一种通知方式以确保及时获取警报持久化存储：对于大型日志文件考虑使用增量处理模式