10个好用的Web日志安全分析工具推荐小结_安全相关

来源:脚本之家  责任编辑:小易  

利用Windows 2003服务器的2113远程维护功能,并通过IE浏览界面5261,就能对服务器的日4102志文件进行远程查看了1653,不过默认状态下,Windows 2003服务器的远程维护功能并没有开通,需要手工启动。 查看服务器日志文件的作用   网站服务器日志记录了web服务器接收处理请求以及运行时错误等各种原始信息。通 过对日志进行统计、分析、综合,就能有效地掌握服务器的运行状况,发现和排除错误原 因、了解客户访问分布等,更好的加强系统的维护和管理。   对于自己有服务器的朋友或是有条件可以看到服务器日志文件的朋友来说,无疑是了 解搜索引擎工作原理和搜索引擎对网页抓取频率的最佳途径。   通过这个文件,您可以了解什么搜索引擎、什么时间、抓取了哪些页面,以及可以知 道是主搜索蜘蛛还是从搜索蜘蛛抓取了您的网站等的信息。   访问原理   1、客户端(浏览器)和Web服务器建立TCP连接,连接建立以后,向Web服务器发出 访问请求(如:Get),根据HTTP协议该请求中包含了客户端的IP地址、浏览器类型、 请求的URL等一系列信息。  2、Web服务器收到请求后,将客户端要求的页面内容返回到客户端。如果出现错误,那么返回错误代码。  3、服务器端将访问信息和错误信息纪录到日志文件里。   下面我们就对本公司自己服务器其中的一个日志文件进行分析。由于文件比较长,所以我们只拿出典型的几种情况来说明。   #Software: Microsoft Internet Information Services 6.0  #Version: 1.0  #Date: 2006-05-12 03:56:30  #Fields: date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status  2006-05-12 03:56:30 三圆三圆三圆** 218.25.92.169 GET / - 80 - 220.181.18.98 Baiduspider+(+http://www.baidu.com/search/spider.htm) 403 14 5   /* 说明 */  上面定义了在2006年5月12日的3点56分30秒的时候,IP为220.181.18.98的百度蜘蛛通过80端口(HTTP)访问了IP为218.25.92.169的服务器的根目录,但被拒绝。   #Software: Microsoft Internet Information Services 6.0  #Version: 1.0  #Date: 2006-05-12 10:18:39  #Fields: date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status  2006-05-12 10:33:36 三圆三圆三圆** 218.25.92.169 GET /***/index.htm - 80 - 10.2.57.6 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0  2006-05-12 10:33:36 三圆三圆三圆** 218.25.92.169 GET /***/***/***.gif - 80 - 10.2.57.6 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0   /* 说明 */  上面定义了在2006年5月12日的10点33分36秒的时候,IP为10.2.57.6的用户正常访问了网站三圆三圆三圆**中***目录下的index.htm页和***/***下的***。gif图片。   #Software: Microsoft Internet Information Services 6.0  #Version: 1.0  #Date: 2006-05-12 13:17:46  #Fields: date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status  2006-05-12 13:17:46 三圆三圆三圆** 218.25.92.169 GET /robots.txt - 80 - 66.249.66.72 Mozilla/5.0+(compatible;+Googlebot/2.1;++http://www.google.com/bot.html) 404 0 2  2006-05-12 13:17:46 三圆三圆三圆** 218.25.92.169 GET / - 80 - 66.249.66.72 Mozilla/5.0+(compatible;+Googlebot/2.1;++http://www.google.com/bot.html) 403 14 5   /* 说明 */  上面定义了在2006年5月12日的13点17分46秒的时候,IP为66.249.66.72的Google蜘蛛访问了robots.txt文件,但没有找到此文件,有访问了此网站的根目 录,但被拒绝。   现在也有很多日志分析工具,如果您的服务器流量很大的话,作者推荐使用分析工具来分析服务器日志,  这些日志信息对计2113算机犯罪调查人员非常有用。5261所谓日4102志是指系统所指定对象的某些1653操作和其操作结果按时间有序的集合。每个日志文件由日志记录组成.每条日志记录描述了一次单独的系统事件。通常情况下,系统日志是用户可以直接阅读的文本文件,其中包含了一个时间戳和一个信息或者子系统所特有的其他信息。日志文件为服务器、工作站、防火墙和应用软件等IT资源相关活动记录必要的、有价值的信息,这对系统监控、查询、报表和安全审汁是十分重要的。日志文件中的记录可提供以下用途:监控系统资源,审汁用户行为,对可疑行为进行报警,确定入侵行为的范围,为恢复系统提供帮助,生成调查报告,为打击计算机犯罪提供证据来源。在windows操作系统中有一位系统运行状况的忠实记录者,它可以详细记录计算机从开机、运行到关机过程中发生的每一个事件,它就是“事件查看器”。用户可以利用这个系统维护工具,收集有关硬件、软件、系统问题方面的信息,并监视系统安全事件,将系统和其他应用程序运行中的错误或警告事件记录下来,便于诊断和纠正系统发生的错误和问题。可以双击“控制面板”中“管理工具”中的“事件查看器”,打开事件查看器窗口本回答被网友采纳www.zgxue.com防采集请勿采集本网。

经常听到有朋友问,有没有比较好用的web日志安全分析工具?

安全日志是安全员在一天中执行安全管理工作情况的记录,是分析研究施工安全管理的参考资料,也是发生安全生产事故后,是可追溯检查的最具可靠性和权威性的原始记录之一,认定责任的重要的书证之一。

首先,我们应该清楚,日志文件不但可以帮助我们溯源,找到入侵者攻击路径,而且在平常的运维中,日志也可以反应出很多的安全攻击行为。

四、查看某类日志记录非常简单,笔者以查看Web管理容日志为例,点击“Web管理日志”链接,进入日志查看页面,在日志文件列表框中选中要查看的日志文件,然后点击右侧的“查看日志”按钮,就能浏览Web管理

一款简单好用的Web日志分析工具,可以大大提升效率,目前业内日志分析工具比较多,今天推荐十个比较好用的Web日志安全分析工具。

安全隐患:1.发生火灾、2触电、3.烫伤,摔伤等意外伤害、4.燃气泄漏发生爆炸火灾人员伤亡、5.电器引发的爆炸 解决办法:1.出门及时关闭火源,用电设备、2.使用带电设备,注意保持干燥,不要私接

1、360星图

一款非常好用的网站访问日志分析工具,可以有效识别Web漏洞攻击、CC攻击、恶意爬虫扫描、异常访问等行为。一键自动化分析,输出安全分析报告,支持iis/apache/nginx日志,支持自定义格式。

下载地址:

https://wangzhan.qianxin.com/activity/xingtu

本地下载地址

https://www.zgxue.com/softs/270178.html

2、LogForensics

Tsrc提供的一款日志分析工具,可从单一可疑线索作为调查起点,遍历所有可疑url(CGI)和来源IP。

相关下载地址:

https://security.tencent.com/index.php/opensource/detail/15

3、GoAccess

一款可视化 Web 日志分析工具,通过Web 浏览器或者 *nix 系统下的终端程序即可访问。能为系统管理员提供快速且有价值的 HTTP 统计,并以在线可视化服务器的方式呈现。

官网地址:

https://www.goaccess.cc/

4、AWStats

一款功能强大的开源日志分析系统,可以图形方式生成高级Web,流媒体,ftp或邮件服务器统计信息。

官网地址:

http://www.awstats.org/

5、Logstalgia

一款非常炫酷且可视化日志分析工具,可以直观的展示CC攻击和网站的日志分析,并以可视化的3D效果展示出来。

下载地址:

http://www.softpedia.com/get/Internet/Servers/Server-Tools/Logstalgia.shtml

6、FinderWeb

程序员的看日志利器,支持,tail, less, grep,支持超大的文本文件,从几M到几十G的日志文件都流畅自如。

下载使用:

http://www.finderweb.net/download.html

7、web-log-parser

一款开源的分析web日志工具,采用python语言开发,具有灵活的日志格式配置。

github项目地址:

https://github.com/JeffXue/web-log-parser

8、ELK

开源实时日志分析的ELK平台,由ElasticSearch、Logstash和Kiabana三个开源项目组成,在企业级日志管理平台中十分常见。

下载使用:

https://www.elastic.co/cn/elastic-stack

9、Splunk

一款顶级的日志分析软件,如果你经常用 grep、awk、sed、sort、uniq、tail、head 来分析日志,那么你可以很容易地过渡到Splunk。

下载地址:

https://www.splunk.com/zh-hans_cn/download/splunk-enterprise.html

10、IBM QRadar

Qradar有一个免费的社区版本,功能上和商用版本差别不大,适合小规模日志和流量分析使用。

下载地址:

https://developer.ibm.com/qradar/ce/

到此这篇关于10个好用的Web日志安全分析工具推荐小结的文章就介绍到这了,更多相关Web日志安全分析工具内容请搜索真格学网以前的文章或继续浏览下面的相关文章希望大家以后多多支持真格学网!

Apache 服务器预安装在2113Kali Linux可以5261用以下命令开启:4102service apache2 startMySQL预安装在Kali Linux可以用以下命令开启:service mysql start使用PHP-MySQL创建一1653个有漏洞的web应用我使用PHP开发了一个有漏洞的web应用并且把它放在上面提到的 Apache-MySQL里面。上述设置完成后,我用了一些Kali Linux中的自动工具(ZAP、w3af)扫描这个有漏洞的应用的URL。现在让我们来看看分析日志中的不同情况。0x02 Apache服务中的日志记录Debian系统上Apache服务器日志的默认位置为:/var/log/apache2/access.log日志记录只是在服务器上存储日志。我还需要分析日志以得出正确结果。在接下来的一节里,我们将看到我们如何分析Apache服务器的访问日志以找出web站点上是否有攻击尝试。分析日志手动检查在日志量较小的情况下,或者如果我们查找一个指定关键词,可以使用像grep表达式这样的工具观察日志。在下图中,我们在URL中试图搜寻所有关键词为“union”的请求。从上图中,我们可以看到URL中的“union select 1,2,3,4,5”请求。很明显,ip地址为 192.168.56.105的某人尝试了SQL注入。 类似地,当我们有自己的关键词时可以搜索特殊的关键词。在下图中,我们正在搜索试图读取“/etc/passwd”的请求,很明显是本地文件包含尝试。如上面的截图所示,我们有许多本地文件包含的尝试,且这些请求发送自ip地址 127.0.0.1。很多时候,能轻易通过日志看出是否是自动化扫描器产生的。举例来说, IBM appscan在许多攻击payload中使用“appscan”这个词。所以,在日志中查看这样的请求,我们基本就可以判断有人在使用appscan扫描网站。Microsoft Excel也是一个打开日志文件和分析日志的不错的工具。我们可以通过指定“空格”为分隔符以用excel打开日志文件。当我们手头没有日志分析工具时,这个也挺好用的。除了这些关键词,在分析期间要了解HTTP状态代码的基础知识。以下是关于HTTP状态代码的高级信息的表格。0x03 Web shellswebshell是网站/服务器的另一个问题。webshell可以已web server权限控制服务器。在一些情况下,我们可以使用webshell来访问所有放在相同服务器上的其他站点。以下截图显示了Microsoft Excel 中开启相同的access.log文件。我们清楚地看到有一个叫“b374k.php”的文件被访问了。“b374k”是一个流行的webshell,因此这个文件是很可疑的。查看相应代码“200”,本行表明有人上传了一个webshell并访问了它。在许多情况下,攻击者重命名webshell的名字以避免怀疑。我们必须变得聪明点,看看被访问的文件是否是常规文件或者是否他们看起来不太一样。我们可以更进一步,如果任何文件看起来可疑的话,还可以查看文件类型和时间戳。One single quote for the winSQL注入是web应用中最常见的漏洞之一。大多数学习web应用安全的人是从学习SQL注入开始的。识别一个传统的SQL注入很容易,给URL参数添加一个单引号看看是否报错。任何我们传递给服务器的东西都会被记录,并且可以朔源。以下截图显示了日志当中记录了有对参数user传入单引号测试是否有SQL注入的行为。%27是单引号的URL编码。出于管理目的,我们还可以运行查询监视来查看数据库中的哪个请求被执行了。如果我们观察以上图片,传递一个单引号给参数“user”的SQL语句被执行了。0x04 使用自动化工具分析当存在大量日志时。手动检查就会变得困难。在这种情景下,除了一些手动检查之外我们可以使用自动化工具。虽然有许多高效的商业工具,但是我要向你们介绍一款被称为“Scalp”的免费工具。据他们的官方链接所说,Scalp是用于Apache服务器,旨在查找安全问题的日志分析器。主要理念是浏览大量日志文件并通过从HTTP/GET中提取可能的攻击。Scalp可以从以下链接下载:https://code.google.com/p/apache-scalp/Scalp是python脚本,所以要求我们的机器中安装python。以下图片显示该工具的帮助。如我们在上图所见,我们需要使用标志-l来提供要分析的日志文件。同时,我们需要提供使用标志-f提供一个过滤文件让Scalp在access.log文件中识别可能的攻击。我们可以使用PHPIDS项目中的过滤器来检测任何恶意的尝试。该文件名为“default_filter.xml ”,可以从以下链接中下载:https://github.com/PHPIDS/PHPIDS/blob/master/lib/IDS/default_filter.xml以下代码块是取自上面链接的一部分。1234567891011 <filter> <id>12</id> <rule><![CDATA[(?:etc\/\W*passwd)]]></rule> <description>Detects etc/passwd inclusion attempts</description> <tags> <tag>dt</tag> <tag>id</tag> <tag>lfi</tag> </tags> <impact>5</impact></filter>它是使用XML标签定义的规则集来检测不同的攻击测试。以上代码片段是检测文件包含攻击尝试的一个示例。下载此文件之后,把它放入Scalp的同一文件夹下。运行以下命令来使用Scalp分析日志。1 python scalp-0.4.py –l /var/log/apache2/access.log –f filter.xml –o output –html“output”是报告保存的目录。如果不存在的话,由Scalp自动创建。-html是用来生成HTML格式的报告。 如我们在上图看到的那样,Scalp结果表明它分析了4001行,超过4024并发现了296个攻击模式。运行上述命令后在输出目录内生成报告。我们可以在浏览器内打开它并查看结果。 下面截图显示的输出显示了目录遍历攻击尝试的一小部分。MySQL中的日志记录本节论述了数据库中的攻击分析和监视它们的方法。第一步是查看设置了什么变量。我们可以使用“show variables;”完成,如下所示。接下来显示了上述命令的输出。如我们在上图中看到的,日志记录已开启。该值默认为OFF。这里另一个重要的记录是 “log_output”,这是说我们正在把结果写入到文件中。另外,我们也可以用表。我们可以看见“log_slow_queries”为ON。默认值为OFF。所有这些选项都有详细解释且可以在下面提供的MySQL文档链接里直接阅读:MySQL的查询监控请求日志记录从客户端处收到并执行的语句。默认记录是不开启的,因为比较损耗性能。我们可以从MySQL终端中开启它们或者可以编辑MySQL配置文件,如下图所示。我正在使用VIM编辑器打开位于/etc/mysql目录内的“my.cnf”文件。如果我们向下滚动,可以看见日志正被写入一个称为“mysql.log”的文件内。我们还能看到记录“log_slow_queries” ,是记录SQL语句执行花了很长时间的日志。现在一切就绪。如果有人用恶意查询数据库,我们可以在这些日志中观察到。如下所示:上图显示了查询命中了名为“webservice”的数据库并试图使用SQL注入绕过认证内容来自www.zgxue.com请勿采集。


  • 本文相关:
  • web前端开发也需要日志
  • web服务器日志统计分析完全解决方案
  • discuz! 4.x sql injection / admin credentials disclosure exp
  • 分析攻击ip来源地与防御ip攻击的应对策略
  • 天意商务系统后台管理帐号破解html版
  • 菜鸟黑客入门攻击及防范技巧
  • 利用google作黑客攻击的原理
  • 如何利用html格式化你的硬盘
  • asp漏洞全接触-进阶篇
  • 怎么查qq聊天记录 怎样恢复删除的手机qq聊天记录技巧?
  • 恶意代码与网络安全
  • 一个黑客必备的基本技能
  • web日志分析工具 怎么确认被攻击
  • 如何查看Web服务器日志
  • 如何做日志分析
  • 如何提高WEB系统的安全性
  • 安全生产工作日志
  • 电脑里的日志有什么作用?查看的是哪些内容?
  • 家里有什么安全隐患,该怎么解决,怎么写报告书
  • 求20篇化工厂实习日记
  • 网站首页网页制作脚本下载服务器操作系统网站运营平面设计媒体动画电脑基础硬件教程网络安全javascriptasp.netphp编程ajax相关正则表达式asp编程jsp编程编程10000问css/htmlflex脚本加解密web2.0xml/rss网页编辑器相关技巧安全相关网页播放器其它综合dart首页安全相关web前端开发也需要日志web服务器日志统计分析完全解决方案discuz! 4.x sql injection / admin credentials disclosure exp分析攻击ip来源地与防御ip攻击的应对策略天意商务系统后台管理帐号破解html版菜鸟黑客入门攻击及防范技巧利用google作黑客攻击的原理如何利用html格式化你的硬盘asp漏洞全接触-进阶篇怎么查qq聊天记录 怎样恢复删除的手机qq聊天记录技巧?恶意代码与网络安全一个黑客必备的基本技能看别人怎么查qq聊天记录 比较详细怎么查qq聊天记录 怎样恢复删除的qq聊天记录删除了怎么恢复简单方密码破解全教程跨站式脚本(cross-sitescripting攻击方式学习之sql注入(sql inje如何成为一名黑客全系列说明js和c#分别防注入代码跨站脚本攻击xss(cross site sc防止电脑被他人控制密码知识教程一如何成为一名黑客全系列说明全力打造个人网络安全之xp篇跨站脚本攻击xss(cross site script)的对错误,漏洞和exploits的说明小心你的 adsl猫被黑网络后门面面观asp漏洞全接触-入门篇详解xss 和 csrf简述及预防措施超全的webshell权限提升方法
    免责声明 - 关于我们 - 联系我们 - 广告联系 - 友情链接 - 帮助中心 - 频道导航
    Copyright © 2017 www.zgxue.com All Rights Reserved