关闭

[置顶] 日志审计-apache攻击日志分析

标签: web服务器apache日志分析性能
2406人阅读 评论(2) 收藏 举报
分类:

0x00前言

在我们部署Web应用中,往往会伴随着很多日志消息产生,例如iis、apache、nginx等Web容器往往会产生众多的日志消息。其中如果使用人工审阅这些消息,工作量实在太大了,另外还需要攥写日志分析报告和风险分析。故如果室纯粹人工完成这项工作,工作量实在非常大。

0x01 前期准备工作

我们可以用两种方式进行日志方式:一种是本地审计---即是直接把日志从服务器中复制到本地电脑;另外一种是异地审计---直接在服务器上分析。本地审计日志的过程比较简单,但是需要服务器管理员把日志文件复制过来,这些日志文件往往很大,几百M甚至是几G。 所以要求本地电脑的性能要非常好。异地审计,这种方式要求我们审计人员拥有管理权限,能够登录到目的服务器(至于登录方式、登录方式、登录后期处理这些事项,可以和网站负责人联系沟通,或者和项目经理沟通,这点非常重要。因为我们可能需要在服务器上安装软件或者复制文件,执行操作。得到授权是非常重要的。)

在这里,我重点描述在本地审计的工作流程。首先我们要明确Web容器的安装路径,或者说是明确Web日志的存放路径。这点我们后续需要用到。先说明一下日志审计的前期准备

1在config.ini文件中设置如下

 设置日志存放路径:log_file:C:\xampp\apache\logs\

cc_analysis:2
cc_concurrent_request:2000
cc_request_growth:0.5
cc_ip_rate:0.5

2 部署JRE环境

当我们完成这些基础准备后,然后点击start.bat 就可以进行日志分析了,当然我们也可以设置定时任务(这里,我们不建议设置定时任务,因为服务器产生日志和我们执行需要的日志文件是一样的,这样有冲突。所以建议单独进行,并且在单独审计日志时出现问题,可以及时解决。)在这里我们明确日志报告分为:安全分析报告 和常规分析报告。我们下面会就每种进行讲解说明。其中每个部分,我尽量贴图并且添加上一些额外的说明。

0x02 常规分析报告


 


 









0x03 安全分析报告









 



欢迎大家分享更好的思路,热切期待^^_^^ !!!


1
0
查看评论

apache日志分析简介

一、日志分析 如果Apache的安装方式是默认安装,服务器一运行就会有两个日志文件生成。这两个文件是access_log和error_log。 采用默认安装方式时,这些文件可以在/usr/local/apache/logs下找到。 其中access_log为访问日志,记录了所有对W...
  • xysoul
  • xysoul
  • 2015-05-06 00:57
  • 841

apache日志分析处理;如何通过apache日志计算出PV数和UV数?

google了下,没有找到如何通过apache日志计算出PV数和UV数,在知乎上提问了个,等待高人解答吧。 —– 等了一下午,知乎上也木有人能给出合理的算法,chinaunix上也木有,stackoverflow.com上也木有,自己找时间看一下awstats吧,看看能不能找到答案。 —- ...
  • doctor_who2004
  • doctor_who2004
  • 2015-01-16 10:28
  • 1787

通过WEB日志安全分析追踪攻击者

摘要:本文主要讲述了WEB日志安全分析时的思路和常用的一些技巧,并通过一个完整的实例讲述了在发生安全事件后,如何通过分析WEB日志并结合其他一些线索来对攻击者进行追踪。 本文主要讲述了WEB日志安全分析时的思路和常用的一些技巧,并通过一个完整的实例讲述了在发生安全事件后,如何通过分析WEB日志...
  • jiary5201314
  • jiary5201314
  • 2014-11-18 19:19
  • 2132

Apache访问日志详解

想要知道什么人在什么时候浏览了网站的哪些内容吗?查看Apache的访问日志就可以知道。访问日志是Apache的标准日志,本文详细解释了访问日志的内容以及相关选项的配置。   一、访问日志的格式   Apache内建了记录服务器活动的功能,这就是它的日志功能。这个《Apache日志》系列文章介绍的...
  • xingxiupaioxue
  • xingxiupaioxue
  • 2017-04-13 03:38
  • 1710

Linux下apache日志分析与状态查看方法

假设apache日志格式为: 118.78.199.98 – - [09/Jan/2010:00:59:59 +0800] “GET /Public/Css/index.css HTTP/1.1″ 304 – “http://www.a.cn/common/index.php” “Mozilla/...
  • jlds123
  • jlds123
  • 2016-11-17 10:34
  • 4359

Apache学习笔记(五)Apache日志分析-webalizer篇

webalizer是一个高效的、免费的web服务器日志分析程序。其分析结果以HTML文件格式保存,从而可以很方便的通过web服务器进行浏览。Internet上的很多站点都使用webalizer进行web服务器日志分析。 一、安装Webalizer日志分析程序 由于webalizer在做报...
  • u011655519
  • u011655519
  • 2014-03-26 01:10
  • 3178

Apache访问日志详解

一、访问日志的格式   Apache内建了记录服务器活动的功能,这就是它的日志功能。这个《Apache日志》系列文章介绍的就是Apache的访问日志、错误日志,以及如何分析日志数据,如何定制Apache日志,如何从日志数据生成统计报表等内容。   如果Apache的安装方式是默认安装,服务器一运...
  • luyaran
  • luyaran
  • 2016-11-18 14:01
  • 1535

apache访问日志分析

当前WEB服务器中联接次数最多的ip地址 #netstat -ntu |awk '{print $5}' |sort | uniq -c| sort -nr   查看日...
  • zhuying_linux
  • zhuying_linux
  • 2011-08-08 20:50
  • 6500

Linux下apache日志分析与状态查看方法

假设apache日志格式为: 118.78.199.98 – – [09/Jan/2010:00:59:59 +0800] “GET /Public/Css/index.css HTTP/1.1″ 304 – “http://www.a.cn/common/index.php” “Mozilla/...
  • xiaowan206
  • xiaowan206
  • 2017-12-21 09:36
  • 26

APACHE日志分析工具

  • 2014-06-25 17:38
  • 3.38MB
  • 下载
    个人资料
    • 访问:674846次
    • 积分:7547
    • 等级:
    • 排名:第3430名
    • 原创:185篇
    • 转载:18篇
    • 译文:10篇
    • 评论:37条
    最新评论