网络安全爱好者
Toggle navigation
主页
归档
标签
关于我
WEB日志分析
应急响应
2024-05-14 11:39:09
278
admin
应急响应
<p style="text-indent:2em">Web访问日志记录了Web服务器接收处理请求及运行时错误等各种原始信息。通过对WEB日志进行的安全分析,不仅可以帮助我们定位攻击者,还可以帮助我们还原攻击路径,找到网站存在的安全漏洞并进行修复。</p> ## 一、web日志存放路径 >常用中间件 apache、tomcat、IIS、Weblogic、Jboss、nginx 常用中间件默认网站目录 ``` apache默认网站目录:/var/www/html/ tomcat默认网站目录:/var/lib/tomcat6/webapps/ nginx 默认网站目录:/usr/local/nginx/html/ iis 默认网站目录:C:\inetpub\wwwroot ``` 常用中间件默认日志存放位置: 可以在配置文件中修改日志存放位置 ``` apache日志存放位置 Centos: /var/log/httpd Debin: /var/log/apache2 tomcat日志存放位置 /opt/tomcat9/logs nginx日志存放位置 /var/log/nginx iis日志存放位置 Windows Server 2003 IIS6日志路径:C:\Windows\System32\LogFiles1。 Windows Server 2008 R2、2012、2016、2019 IIS7及以上版本日志路径:C:\inetpub\logs\LogFiles ``` ## 二、web日志分析技巧 在对WEB日志进行安全分析时,一般可以按照两种思路展开,逐步深入,还原整个攻击过程。 第一种:确定入侵的时间范围,以此为线索,查找这个时间范围内可疑的日志,进一步排查,最终确定攻击者,还原攻击过程。 第二种:攻击者在入侵网站后,通常会留下后门维持权限,以方便再次访问,我们可以找到该文件,并以此为线索来展开分析。 常用分析工具: ### 2.1 Linux下,使用Shell命令组合查询分析。 Shell+Linux命令实现日志分析,一般结合grep、awk等命令等实现了几个常用的日志分析统计技巧。 Apache日志分析技巧: ``` 1、列出当天访问次数最多的IP命令: cut -d- -f 1 log_file|uniq -c | sort -rn | head -20 2、查看当天有多少个IP访问: awk '{print $1}' log_file|sort|uniq|wc -l 3、查看某一个页面被访问的次数: grep "/index.php" log_file | wc -l 4、查看每一个IP访问了多少个页面: awk '{++S[$1]} END {for (a in S) print a,S[a]}' log_file 5、将每个IP访问的页面数进行从小到大排序: awk '{++S[$1]} END {for (a in S) print S[a],a}' log_file | sort -n 6、查看某一个IP访问了哪些页面: grep ^111.111.111.111 log_file| awk '{print $1,$7}' 7、去掉搜索引擎统计当天的页面: awk '{print $12,$1}' log_file | grep ^\"Mozilla | awk '{print $2}' |sort | uniq | wc -l 8、查看2018年6月21日14时这一个小时内有多少IP访问: awk '{print $4,$1}' log_file | grep 21/Jun/2018:14 | awk '{print $2}'| sort | uniq | wc -l ``` ### 2.2 Window下,推荐用工具分析 #### 2.2.1 360星图 1) 修改配置文件:/conf/config.ini,指定日志文件路径或者日志文件目录 2) 双击打开 start.bat,开始自动日志分析 3) 打开 result 文件夹可以查看分析结果 #### 2.2.2 http Logs Viewer
上一篇:
Linux日志分析
下一篇:
Windows日志分析
导航窗格
admin
