第一:为什么需要日志分析
日志分析最直主要的两个目的:
(1)、网站安全自检查,了解服务器上正在发生的安全事件。
(2)、作为网站管理运维等人员必须实时的了解服务器的安全状况,避免造成不必要的损失应急事件中的分析取证。
(3)、当已经因为黑客攻击造成损失时,可以通过日志分析等各种应急措施尽量挽回损失。
第二:如何进行日志分析
日志分析工具,记录log脚本。感知可能正在发生的攻击,从而规避存在的安全风险。
第三:日志分析中存在的难题
对于日志的安全分析,可能会有如下几个问题日志中POST数据是不记录的状态码虽然表示了响应状态,但是存在多种不可信情况,如服务器配置自定义状态码。
攻击者可能使用多个代理IP无恶意webshel访问记录攻击者避开了关键字检索:APT攻击、日志数据噪声。