站長應用教程:IIS日志分析方法及工具
來源:程序員人生 發布時間:2014-03-10 03:16:12 閱讀次數:3296次
日志的重要性已經越來越受到站長與程序員的重視,IIS的日志更是不言而喻。
IIS日志建議使用W3C擴充日志文件格式,這也是IIS 5.0已上默認的格式,可以指定每天記錄客戶IP地址、用戶名、服務器端口、方法、URI資源、URI查詢、協議狀態、用戶代理,每天要審查日志。
IIS 的WWW日志文件默認位置為 %systemroot%system32logfilesw3svc1,(例如:我的則是在 C:WINDOWSsystem32LogFilesW3SVC1),默認每天一個日志。
建議不要使用默認的目錄,更換一個記錄日志的路徑,同時設置日志訪問權限,只允許管理員和SYSTEM為完全控制的權限。
如果發現IIS日志再也不記錄了,解決辦法:
看看你有沒有啟用日志記錄:你的網站--> 屬性 -->“網站”-->“啟用日志”是否勾選。
日志文件的名稱格式是:ex+年份的末兩位數字+月份+日期。
( 如2002年8月10日的WWW日志文件是ex020810.log )
IIS的日志文件都是文本文件,可以使用任何編輯器或相關軟件打開,例如記事本程序,AWStats工具。
開頭四行都是日志的說明信息
#Software 生成軟件
#Version 版本
#Date 日志發生日期
#Fields 字段,顯示記錄信息的格式,可由IIS自定義。
日志的主體是一條一條的請求信息,請求信息的格式是由#Fields定義的,每個字段都有空格隔開。
字段解釋
data 日期
time 時間
cs-method 請求方法
cs-uri-stem 請求文件
cs-uri-query 請求參數
cs-username 客戶端用戶名
c-ip 客戶端IP
cs-version 客戶端協議版本
cs(User-Agent) 客戶端瀏覽器
cs(Referer) 引用頁
下面列舉說明日志文件的部分內容(每個日志文件都有如下的頭4行):
#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2007-09-21 02:38:17
#Fields: date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status
2007-09-21 01:10:51 10.152.8.17 - 10.152.8.2 80
GET /seek/images/ip.gif - 200 Mozilla/5.0+(X11;+U;+Linux+2.4.2-2+i686;+en-US;+0.7)
上面各行分別清楚地記下了遠程客戶端的:
連接時間 2007-09-21 01:10:51
IP地址 10.152.8.17 - 10.152.8.2
端 口 80
請求動作 GET /seek/images/ip.gif - 200
返回結果 - 200 (用數字表示,如頁面不存在則以404返回)
瀏覽器類型 Mozilla/5.0+
系統等相關信息 X11;+U;+Linux+2.4.2-2+i686;+en-US;+0.7
附:IIS的FTP日志
IIS的FTP日志文件默認位置為%systemroot%system32logfilesMSFTPSVC1,對于絕大多數系統而 言(如果安裝系統時定義了系統存放目錄則根據實際情況修改)則是C:winntsystem32logfiles MSFTPSVC1,和IIS的WWW日志一樣,也是默認每天一個日志。日志文件的名稱格式是:ex+年份的末兩位數字+月份+日期,如2002年8月 10日的WWW日志文件是ex020810.log。它也是文本文件,同樣可以使用任何編輯器打開,例如記事本程序。和IIS的WWW日志相比,IIS的 FTP日志文件要豐富得多。下面列舉日志文件的部分內容。
#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2002-07-24 01:32:07
#Fields: time cip csmethod csuristem scstatus
03:15:20 210.12.195.3 [1]USER administator 331
(IP地址為210.12.195.2用戶名為administator的用戶試圖登錄)
03:16:12 210.12.195.2 [1]PASS - 530 (登錄失敗)
03:19:16 210.12.195.2 [1]USER administrator 331
(IP地址為210.12.195.2用戶名為administrator的用戶試圖登錄)
03:19:24 210.12.195.2 [1]PASS - 230 (登錄成功)
03:19:49 210.12.195.2 [1]MKD brght 550 (新建目錄失敗)
03:25:26 210.12.195.2 [1]QUIT - 550 (退出FTP程序)
有經驗的用戶可以通過這段FTP日志文件的內容看出,來自IP地址210.12.195.2的遠程客戶從2002年7月24日3:15開始試圖 登錄此服務器,先后換了2次用戶名和口令才成功,最終以administrator的賬戶成功登錄。這時候就應該提高警惕,因為 administrator賬戶極有可能泄密了,為了安全考慮,應該給此賬戶更換密碼或者重新命名此賬戶。
如何辨別服務器是否有人曾經利用過UNICODE漏洞入侵過呢?可以在日志里看到類似如下的記錄:
如果有人曾經執行過copy、del、echo、.bat等具有入侵行為的命令時,會有以下類似的記錄:
13:46:07 127.0.0.1 GET /scripts/..\../winnt/system32/cmd".exe 401
13:46:07 127.0.0.1 GET /scripts/..\../winnt/system32/cmd".exe 200
13:47:37 127.0.0.1 GET /scripts/..\../winnt/system32/cmd".exe 401
相關軟件介紹:
如果入侵者技術比較高明,會刪除IIS日志文件以抹去痕跡,這時可以到事件查看器看來自W3SVC的警告信息,往往能找到一些線索。當然,對于訪問量特別大的Web服器,僅靠人工分析幾乎是不可能的--數據太多了!可以借助第三方日志分析工具,如Faststs Analyzer、Logs2Intrusions v.1.0等。此處僅僅介紹一下Logs2Intrusions日志分析工具。它是一個由Turkish Security Network公司開發的自由軟件,是免費的日志分析工具,可以分析IIS 4/5、Apache和其他日志文件。可以到http://www.trsecurity.net/logs2intrusions下載最新的版本。該軟件簡單易用,下面是它的主界面。
單擊【Select】按鈕后選擇要分析的日志文件,然后單擊【Next】按鈕,在出現的窗口中單擊【Begin Work】按鈕即可開始分析。
如圖4所示,它表明已經發覺入侵的痕跡。如果沒有發現痕跡則彈出如圖5所示的對話框。
在發現痕跡后單擊【Next】按鈕繼續。
【View Report】按鈕是查看報告,【Save Report】按鈕是保存報告,【New Report】按鈕是生成新報告。下面是報告的例子,。
在"Intrusion Attempt"列中列出了超鏈接,選擇它可以得到Trsecurity公司的專家的建議。和該軟件同一目錄中的sign.txt是入侵行為特征的關鍵字,用戶可以根據新的漏洞的發現而隨時補充。
生活不易,碼農辛苦
如果您覺得本網站對您的學習有所幫助,可以手機掃描二維碼進行捐贈