日志分析

Linux日志分析

Linux日志类型大致可以分为三类，内核和系统日志、用户日志、应用日志

• 内核和系统日志：这种日志主要由syslog管理、根据其配置文件/etc/syslog.conf中的设置决定内核消息和各种系统程序信息记录到哪个位置
• 用户日志：用户日志主要记录系统用户登录或者退出的信息，包括用户名账号、登录时间、源IP等
• 应用日志：记录应用程序运行过程中的各种事件信息

secure日志

成功登陆

登录失败

Web应用日志分析

WEB访问日志存放位置

• Apache

• • 在httpd. conf 和引用的*.conf文件中查找CustomLog "logs/access.log" combined

• • • CustomLog 访问日志配置指令
    • logs/access.log 访问日志记录文件
    • combined 日志格式

• Nginx

• • 在nginx.conf或引用的 *. conf文件中查找 access_log logs/access.log main

• • • access_log 访问日志配置指令
    • logs/access.log 访问日志记录文件
    • main 日志格式

NCSA扩展日志格式

目前常见的WEB日志格式主要由两类

• 一类是Apache的NCSA日志格式
• 另一类是IIS的W3C日志格式

这里主要介绍的是NCSA扩展日志格式(ECLF)

请求(request)

即在网站上通过何种方式获取了哪些信息,也是日志中较为重要的一项

主要包括以下三个部分:

还包含其他信息

如何分析web日志

常规黑客攻击思路

Web应急思路

• 文件内容中的恶意函数

• • PHP: eval(、system(、assert(
  • JSP: getRunTime(, FileOutputStream(
  • ASP: eval(、execute(、 ExecuteGlobal(

• 查看每个IP地址访问次数

• • cat access.log | awk'{print $1}' | sort | uniq -c

• 访问URL排序

• • cat access.log | awk'{print $11}' | sort | uniq -c | sort -rn | head

• 访问指定资源日志:

• • cat access.log | awk'{print $7}' | grep /%25Domain | sort | uniq | sort -rn | more

其他日志

• 查看历史命令: history、cat ~/.bash_history
• 第三方流量日志，例如：天眼、NGSOC、科莱等
• 安全软件日志，例如：EDR、天擎、椒图、安全狗等