运维利器:WEB日志分析场景介绍

最新推荐文章于 2022-04-22 16:41:32 发布
最新推荐文章于 2022-04-22 16:41:32 发布
阅读量437 收藏
点赞数
文章标签: 运维 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ducc20180301/article/details/111284442
版权
本文介绍了Web日志分析的重要性,包括安全自检查、应急事件分析和业务行为统计。通过Apache访问日志示例展示了如何区分正常请求和恶意请求,并列举了一系列使用命令或工具进行日志分析的场景,如统计IP访问次数、URL访问频率、异常行为检测等。文章强调了日志分析在网络安全和业务理解中的关键作用。
摘要由CSDN通过智能技术生成

为什么要对 Web日志进行分析

随着 Web 技术不断发展,Web 被应用得越来越广泛,现在很多企业对外就一个网站来提供服务,所以网站的业务行为,安全性显得非常重要。正如安全行业的一句话:“世界上只有两种人,一种是知道自己被黑了的,另外一种是被黑了还不知道的”。对网站的业务行为分析,网站的安全性分析一个很重要的途径就是通过日志。通过WEB日志分析最直接明显的几个目的:

  • 一为网站安全自检查,了解服务器上正在发生的安全事件;
  • 二为应急事件中的分析取证;
  • 三是可根据日志分析一些常用的业务行为。

如何进行日志分析?

在进行日志分析之前,我们先来了解一下 Web服务器中产生的日志是什么样子。我们来看一条 Apache 的访问日志为例:

114.221.137.87 - - [10/Sep/2019:14:52:28 +0800] "GET /login HTTP/1.1" 200 1068 https://secilog.secisland.com/ Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.105 Safari/537.36 Vivaldi/2.4.1488.40

通过以上信息,我们可以得知服务器会记录来自客户端的每一个请求,其中有大量来自正常用户的请求,当然也包括来自恶意攻击者的请求,那么我们如何区分正常请求和恶意攻击请求呢?

站在攻击者的角度,攻击者对网站进行渗透时,其中包含大量的扫描请求和执行恶意操作的请求,而这两者在日志中都有各自的特征,如扫描请求会访问大量不存在的地址,在日志中体现则为大量的响应状态码为404,而不同的恶意请求都有各自相应的特征。

如当有人对服务器进行SQL注入漏洞探测时会有类似:/login?attack=test’;select/* */1//from//1等内容。通过关键字分析可以分析哪些 IP 在进行攻击,可以进一步的进行处置,比如封ip等。

日志分析场景介绍

一般可以按照两种思路展开,逐步深入,还原整个攻击过程。

  • 第一种:确定入侵的时间范围,以此为线索,查找这个时间范围内可疑的日志,进一步排查,最终确定攻击者,还原攻击过程。
  • 第二种:攻击者在入侵网站后,通常会留下后门权限,以方便再次访问,我们可以找到该文件,并以此为线索来展开分析。

曾经有人问过运维的人员的大神,该如何分析日志?大神回答了三个字:“用命令”。

因为站在脚本操作经验丰富的人角度来看,的确用命令足矣,可是对于一般的人员来说用Linux的shell命令还是稍显复杂。还是需要借助一些工具来提高效率。这里用了SECISLAND 新推出的免费工具 secsoso来作为示例:

spl 完整语法:secsoso ‘file=(“文件名”," ") 过滤|统计…’简化语法: secsoso ‘文件名 过滤|统计…’

secsoso是一个小工具,用来搜索、关联、统计文本数据,它结合了 SQL 的功能与 Unix 管道语法,可以对文本数据进行快速的定位,查找和分析,从而提高处理和解决问题的效率。

secsoso获取方式如下:
1、关注公众号“SECISLAND安全官”

2、公众号内发送“secsoso”,获取下载链接

业务行为统计

列出文件中访问次数最多的10个IP

secsoso 'file=("/export/home/20190613/access.log"," ")|stats  count($1) by $1|sort 10 -count_$1'

说明:其中/export/home/20190613/access.log为文件路径,“ ”为字段分割符。文件名可以是绝对路径(/export/home/20190613/access.log) 也可以是相对路径(access.log)。默认列名为$1,$2…, count($1)后的默认名称为count_$1。

结果如下:

$1                        count_$1
 101.226.68.137                 972
  163.177.71.12                 972
183.195.232.138                 971
111.192.165.229                 377
  114.252.89.91                 374
   66.249.66.84                 246
 222.70.152.149                 226
 220.181.89.174                 172
 111.194.118.58                 160
  60.247.77.253                 146

你也可以给字段重命名以友好方式显示,这个是简化语法:结果同上。

secsoso ‘access.log|rename $1 as ip |stats  count(ip) by ip|sort 10 -count_ip’

查看文件中有多少个不同的IP访问

secsoso  'access.log|rename $1 as ip |stats  dc(ip) '

结果如下:

dc_ip
1050

查看某一个页面被访问的次数

比如 /nodejs-underscore/?cf_action=sync_comments为访问页面

secsoso 'access.log "/nodejs-underscore/?cf_action=sync_comments"|eventcount'

“/nodejs-underscore/?cf_action=sync_comments”是过滤的含义,结果如下:

event_count
最低0.47元/天 解锁文章
SECISLAND安全官
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Windows日志分析场景(一)
ducc20180301的博客
07-08 797
免责声明:攻击复现场景均为本地搭建靶机测试环境,涉及复现方式相关,仅作个人拓展学习了解。 一、概述 计算机网络的安全性主要包括网络服务的可用性、网络信息的保密性和网络信息的完整性。数据时代的不断进步,也产生了一些安全问题。数据安全和设备安全更是网络安全中的两个重要内容。关于Windows主机的安全防护,大概分为以下几个方面:账户管理、本地策略、服务、网络协议、注册表管理、文件系统与权限、Windows系统自身安全。如何去发现Windows主机的一些潜在或者已经存在的威胁,以怎样的检测排查思路去分析。
《海量日志数据分析与应用场景介绍及技术点分析
weixin_34235371的博客
03-15 131
原文链接:http://click.aliyun.com/m/13989/接下来几个实验如下:2、数据采集:日志数据上传3、数据加工:用户画像4、数据分析展现:可视化报表及嵌入应用5、社交数据分析:好友推荐 转载于:https://blog.51cto.com/11778640/1906629...
Greenplum日志分析案例(GreenPlum企业级应用实战书)
qq_28849581的博客
03-12 395
3.2 日志分析 是网站分析的基础,通过对网站浏览的日志进行分析,可以为网站优化提供数据支持,了解用户群以及用户浏览特性。 3.2.1 应用场景描述 分析全站每分钟的PV、UV,并导出到Excel中,画出折线图 解析uRL,获取URL中的参数列表。 通过URL取得member_id,然后统计当天浏览次数的用户分布,如分布在某个区间的用户分别有多少人。 3.2.2 数据demo 建表: drop table if exists log_path; create table log_path( log_tim
日志分析实践与应用
weixin_33901843的博客
02-08 449
日志分析实践与应用 这个场景是,日志系统平时为了系统处理能力,我们使用INFO级别或ERROR级别,当发现问题时,我们需要不停服务的动态的将日志级别变更为DEBUG以便在执行细节发现问题,下面列举了动态变更的操作,需要借助代码、定时和配置中心服务。 在微服务的场景日志是散落在各个服务集群节点中,不方便查看,所以我们需要通过集中收集到一处保存、查看和分析。 应用程序中日志的...
第一篇:日志分析场景
weixin_30917213的博客
07-10 260
   应用场景: 有如下4台主机: cpy01.dev.xjh.com第一台日志服务器 cpy02.dev.xjh.com第二台日志服务器 cpy03.dev.xjh.com第三台日志服务器 cpy04....
日志分析工具_iis_log_analysis_tool
09-25
总结,IIS日志分析工具是运维和优化网站不可或缺的利器。通过深入分析日志,我们可以更好地理解网站运行状态,提升用户体验,保障网络安全,同时也能为决策提供数据支持。因此,掌握并熟练使用IIS日志分析工具,对于...
logviewer:一个简单的Java Web应用程序,用于监视Web服务器日志
05-02
总之,`logviewer`作为一个简单的Java Web日志查看器,凭借其自动检测、自定义高亮和便捷的复制功能,为IT专业人士提供了一种直观且高效的日志管理工具。如果你经常需要处理Web服务器日志,那么`logviewer`无疑是一...
Grok:深入解析日志与数据的强大工具.zip
最新发布
03-19
总结来说,Grok是理解和处理日志数据的强大工具,它的灵活性和广泛适用性使其成为IT运维和大数据分析中的必备利器。无论是在监控系统性能、保障网络安全,还是在进行业务分析上,熟练掌握Grok都能大大提升我们的工作...
浪潮服务器日志一键收集工具
01-09
该工具的主要目的是简化服务器运维人员在日常工作中对服务器日志的管理和分析过程,通过一键操作,快速、全面地收集服务器上的各类日志信息,为故障排查、性能优化和系统维护提供强有力的支持。 首先,我们要理解...
My-Monitor:基于python websocket的日志实时监控工具
07-02
《My-Monitor:基于Python Websocket的日志实时监控利器》 在现代的IT环境中,日志监控是一项至关重要的任务,它能帮助我们实时追踪系统运行状况,及时发现并解决问题。My-Monitor是一款基于Python和Flask-SocketIO...
基于spark之上的即席分析-日志分析场景
z01_ejdazhi的博客
03-06 453
YDB 场景精选之运维日志、 业务日志、 交易流水日志的搜索与分析  通过方便灵活的日志搜索分析,帮助用户及时发现问题  统一日志查询平台,程序故障定位平台  开发与运维人员经常需要登录线上生产系统, 通过 grep、 tail、 more、 cat 等命令去生产系统里查找故障原因, 排查效率很慢。 且在生产系统运维人员因错误的使用调试命令导致生产系统宕机的情况路见不鲜。  组建一个统一的
web服务器日志分析
u013786156的专栏
03-03 4261
转自: Web服务器日志统计分析完全解决方案  管理Web网站不只是监视Web的速度和Web的内容传送,它要求不仅仅关注服务器每天的吞吐量,还要了解对这些Web网站的外来访问,了解网站各页面的访问情况,根据各页面的点击频率来改善网页的内容和质量、提高内容的可读性,跟踪包含有商业交易的步骤以及管理Web网站“幕后”的数据等。    为了更好地提供WWW服务,监控WEB服务器的运行情
简单的Web日志分析
weixin_43988774的博客
04-14 5139
Web日志分析 以apache为例 访问日志记录过程 apache日志大致分为两类:访问日志和错误日志 访问日志记录的过程: 客户端向web服务器发送请求,请求中包含客户端的IP、浏览器类型(User-Agent)、请示的URL等信息 web服务器向客户端返回请示的页面 web服务器同时将访问信息和状态信息记录到日志文件中 Apache的访问日志目录在其配置文件中已经定义好了,CentOS中apache的配置文件位置为/etc/httpd/conf/httpd.
【谈日志的重要性】运维中被低估的日志
程序猿开发日志【学习永无止境】
12-06 6651
如果把运维看做是医生给病人看病,则日志就是病人对自己的陈述,很多时候医生需要通过对病人的描述中得出病人状况,是否严重,需要什么计量的药,什么类型的药。所以古人有句话叫对症下药,这个症就是病人的描述加医生的判断,在重一点的病在加上很多的化验。在医生看病时病人的描述和化验单上的数据对医生是非常重要的。同理日志运维中的作用也是类似的,但非常不幸,日志在很多运维中被严重低估,直到磁盘空间不足的时候才想到
web安全day28:一文读懂Linux日志运维工程师必备
小梁的博客
01-01 1522
目录 常用日志 boot.log lastlog message secure btmp wtmp utmp 日志配置文件 MODULES GLOBALS RULES 转发规则 日志级别 触发事件测试 检查日志 日志格式 Linux系统拥有非常灵活和强大的日志功能,可以保存几乎所有的操作记录,并可以从中检索出我们需要的信息。会看Linux日志是非常重要的,不仅在日常操作中可以迅速排错,也可以快速的定位入侵者。` Linux日志文件放在/var/log/目录下 .
大数据场景-用户行为日志分析
悟能的师兄的专栏
07-16 7726
用户日志: 访问的系统属性:操作系统、浏览器类型 访问特征:点击的URL、来源(referer)url [推广]、页面停留时间 访问信息:session_id,访问IP 价值:分析每个用户的使用场景频率高的业务点,分析每个用户的IP 【解析到城市信息】,根据用户浏览商品打浏览标签精准推荐商品 等等… 数据处理 有数据者有未来,有数据意味着每一份用户行为数据都是宝贵的资源。经过数据清洗,再...
日志分析篇---Web日志分析
永不垂头的博客
01-29 7264
日志分析篇—Web日志分析 文章目录日志分析篇---Web日志分析一、 web日志二、日志分析技巧三、日志分析案例1、定位攻击源2、搜索相关日志记录3、对找到的访问日志进行解读,攻击者大致的访问路径如下:四、日志统计分析技巧五、我的公众号 一、 web日志 Web访问日志记录了Web服务器接收处理请求及运行时错误等各种原始信息。通过对WEB日志进行的安全分析,不仅可 以帮助我们定位攻击者,还可以帮助我们还原攻击路径,找到网站存在的安全漏洞并进行修复。 我们来看一条Apache的访问日志: 127.0.0.1
阿里云日志服务sls的典型应用场景
gangyikeji的博客
04-22 3483
日志服务的典型应用场景包括:数据采集与消费、数据清洗与流计算 (ETL/Stream Processing)、数据仓库对接(Data Warehouse)、日志实时查询与分析。 云起实验室日志服务体验(活动期完成有机会参与100%中奖):https://developer.aliyun.com/adc/series/activity/sls-1 数据采集与消费 通过日志服务LogHub功能,可以大规模低成本接入各种实时日志数据(包括Metric、Event、BinLog、TextLog、Click等)。 方
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值