《网管必学技术之iis日志分析方法及工具》由会员分享,可在线阅读,更多相关《网管必学技术之iis日志分析方法及工具(4页珍藏版)》请在金锄头文库上搜索。
1、网管必学技术之网管必学技术之 IISIIS 日志分析方法及工具日志分析方法及工具日志的重要性已经越来越受到程序员的重视,IIS 的日志更是不言而喻。 IIS 日志建议使用 W3C 扩充日志文件格式,这也是 IIS 5.0已上默认的格式,可以指定每天记录客户 IP 地址、用户名、服务器端口、方法、URI 资源、URI 查询、协议状态、用户代理,每天要审查日志。IIS 的 WWW 日志文件默认位置为 %systemroot%system32logfilesw3svc1, (例如:我的则是在 C:WINDOWSsystem32LogFilesW3SVC1) ,默认每天一个日志。建议不要使用默认的目录
2、,更换一个记录日志的路径,同时设置日志访问权限,只允许管理员和 SYSTEM 为完全控制的权限。如果发现 IIS 日志再也不记录了,解决办法:看看你有没有启用日志记录:你的网站 属性 “网站”“启用日志”是否勾选。日志文件的名称格式是:ex+年份的末两位数字+月份+日期。( 如 2002 年 8 月 10 日的 WWW 日志文件是 ex020810.log )IIS 的日志文件都是文本文件,可以使用任何编辑器或相关软件打开,例如记事本程序,AWStats 工具。开头四行都是日志的说明信息#Software 生成软件#Version 版本#Date 日志发生日期#Fields 字段,显示记录信息
3、的格式,可由 IIS 自定义。日志的主体是一条一条的请求信息,请求信息的格式是由#Fields 定义的,每个字段都有空格隔开。字段解释data 日期time 时间cs-method 请求方法cs-uri-stem 请求文件cs-uri-query 请求参数cs-username 客户端用户名c-ip 客户端 IPcs-version 客户端协议版本cs(User-Agent) 客户端浏览器cs(Referer) 引用页下面列举说明日志文件的部分内容(每个日志文件都有如下的头 4 行):#Software: Microsoft Internet Information Services 6.0#
4、Version: 1.0#Date: 2007-09-21 02:38:17#Fields: date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status2007-09-21 01:10:51 10.152.8.17 - 10.152.8.2 80GET /seek/images/ip.gif - 200 Mozilla/5.0+(X11;+U;+Linux+2.4.2-2+i68
5、6;+en-US;+0.7)上面各行分别清楚地记下了远程客户端的:连接时间 2007-09-21 01:10:51IP 地址 10.152.8.17 - 10.152.8.2端 口 80请求动作 GET /seek/images/ip.gif - 200返回结果 - 200 (用数字表示,如页面不存在则以 404 返回)浏览器类型 Mozilla/5.0+系统等相关信息 X11;+U;+Linux+2.4.2-2+i686;+en-US;+0.7附:IIS 的 FTP 日志IIS 的 FTP 日志文件默认位置为%systemroot%system32logfilesMSFTPSVC1,对于绝大
6、多数系统而言(如果安装系统时定义了系统存放目录则根据实际情况修改)则是 C:winntsystem32logfiles MSFTPSVC1,和 IIS 的 WWW 日志一样,也是默认每天一个日志。日志文件的名称格式是:ex+年份的末两位数字+月份+日期,如 2002 年 8 月 10 日的 WWW 日志文件是ex020810.log。它也是文本文件,同样可以使用任何编辑器打开,例如记事本程序。和 IIS 的 WWW 日志相比,IIS 的 FTP 日志文件要丰富得多。下面列举日志文件的部分内容。#Software: Microsoft Internet Information Services
7、6.0#Version: 1.0#Date: 2002-07-24 01:32:07#Fields: time cip csmethod csuristem scstatus03:15:20 210.12.195.3 1USER administator 331(IP 地址为 210.12.195.2 用户名为 administator 的用户试图登录)03:16:12 210.12.195.2 1PASS - 530 (登录失败)03:19:16 210.12.195.2 1USER administrator 331(IP 地址为 210.12.195.2 用户名为 administrat
8、or 的用户试图登录)03:19:24 210.12.195.2 1PASS - 230 (登录成功)03:19:49 210.12.195.2 1MKD brght 550 (新建目录失败)03:25:26 210.12.195.2 1QUIT - 550 (退出 FTP 程序)有经验的用户可以通过这段 FTP 日志文件的内容看出,来自 IP地址 210.12.195.2 的远程客户从 2002 年 7 月 24 日 3:15 开始试图登录此服务器,先后换了 2 次用户名和口令才成功,最终以administrator 的账户成功登录。这时候就应该提高警惕,因为administrator 账户
9、极有可能泄密了,为了安全考虑,应该给此账户更换密码或者重新命名此账户。如何辨别服务器是否有人曾经利用过 UNICODE 漏洞入侵过呢?可以在日志里看到类似如下的记录:如果有人曾经执行过 copy、del、echo、.bat 等具有入侵行为的命令时,会有以下类似的记录:13:46:07 127.0.0.1 GET /scripts/./winnt/system32/cmd“.exe 40113:46:07 127.0.0.1 GET /scripts/./winnt/system32/cmd“.exe 20013:47:37 127.0.0.1 GET /scripts/./winnt/syst
10、em32/cmd“.exe 401相关软件介绍:如果入侵者技术比较高明,会删除 IIS 日志文件以抹去痕迹,这时可以到事件查看器看来自 W3SVC 的警告信息,往往能找到一些线索。当然,对于访问量特别大的 Web 服务器,仅靠人工分析几乎是不可能的-数据太多了!可以借助第三方日志分析工具,如Faststs Analyzer、Logs2Intrusions v.1.0 等。此处仅仅介绍一下 Logs2Intrusions 日志分析工具。它是一个由 Turkish Security Network 公司开发的自由软件,是免费的日志分析工具,可以分析IIS 4/5、Apache 和其他日志文件。可以
11、到http:/ 下载最新的版本。该软件简单易用,下面是它的主界面。单击【Select】按钮后选择要分析的日志文件,然后单击【Next】按钮,在出现的窗口中单击【Begin Work】按钮即可开始分析。如图 4 所示,它表明已经发觉入侵的痕迹。如果没有发现痕迹则弹出如图 5 所示的对话框。在发现痕迹后单击【Next】按钮继续。【View Report】按钮是查看报告, 【Save Report】按钮是保存报告, 【New Report】按钮是生成新报告。下面是报告的例子, 。在“Intrusion Attempt“列中列出了超链接,选择它可以得到Trsecurity 公司的专家的建议。和该软件同一目录中的 sign.txt是入侵行为特征的关键字,用户可以根据新的漏洞的发现而随时补充。
