关闭

[置顶] 日志审计-apache攻击日志分析

标签: web服务器apache日志分析性能
1815人阅读 评论(2) 收藏 举报
分类:

0x00前言

在我们部署Web应用中,往往会伴随着很多日志消息产生,例如iis、apache、nginx等Web容器往往会产生众多的日志消息。其中如果使用人工审阅这些消息,工作量实在太大了,另外还需要攥写日志分析报告和风险分析。故如果室纯粹人工完成这项工作,工作量实在非常大。

0x01 前期准备工作

我们可以用两种方式进行日志方式:一种是本地审计---即是直接把日志从服务器中复制到本地电脑;另外一种是异地审计---直接在服务器上分析。本地审计日志的过程比较简单,但是需要服务器管理员把日志文件复制过来,这些日志文件往往很大,几百M甚至是几G。 所以要求本地电脑的性能要非常好。异地审计,这种方式要求我们审计人员拥有管理权限,能够登录到目的服务器(至于登录方式、登录方式、登录后期处理这些事项,可以和网站负责人联系沟通,或者和项目经理沟通,这点非常重要。因为我们可能需要在服务器上安装软件或者复制文件,执行操作。得到授权是非常重要的。)

在这里,我重点描述在本地审计的工作流程。首先我们要明确Web容器的安装路径,或者说是明确Web日志的存放路径。这点我们后续需要用到。先说明一下日志审计的前期准备

1在config.ini文件中设置如下

 设置日志存放路径:log_file:C:\xampp\apache\logs\

cc_analysis:2
cc_concurrent_request:2000
cc_request_growth:0.5
cc_ip_rate:0.5

2 部署JRE环境

当我们完成这些基础准备后,然后点击start.bat 就可以进行日志分析了,当然我们也可以设置定时任务(这里,我们不建议设置定时任务,因为服务器产生日志和我们执行需要的日志文件是一样的,这样有冲突。所以建议单独进行,并且在单独审计日志时出现问题,可以及时解决。)在这里我们明确日志报告分为:安全分析报告 和常规分析报告。我们下面会就每种进行讲解说明。其中每个部分,我尽量贴图并且添加上一些额外的说明。

0x02 常规分析报告


 


 









0x03 安全分析报告









 



欢迎大家分享更好的思路,热切期待^^_^^ !!!


1
0

查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    个人资料
    • 访问:529487次
    • 积分:6490
    • 等级:
    • 排名:第3863名
    • 原创:182篇
    • 转载:18篇
    • 译文:10篇
    • 评论:33条
    最新评论