Windows IIS日志提取和安全檢查分析
一、IIS日志介紹:
1.IIS簡介:
IIS全稱Internet Information Services,是由微軟公司提供的基于運行Microsoft Windwos的互聯網基本服務,IIS是一種Web(網頁)服務組件,其中包括Web服務器、FTP服務器、NNTP服務器和SMTP服務器,分別用于網頁瀏覽、文
件傳輸、新聞服務和郵件發送等方面,它使得在網路(包括互聯網和局域網)上發布資訊成了一件很容易的事,
IIS可設定的內容包括:虛擬目錄及訪問權限、默認檔案名稱、目錄瀏覽,
2.IIS日志的路徑:
Server 2003,路徑為:C:\WINDOWS\system32\LogFiles;
Server 2008/R2,路徑為:C:\inetpub\logs\LogFiles,
Win10系統默認的IIS服務是關閉的,如果需要開啟服務,參考:https://jingyan.baidu.com/article/ea24bc39c43d72da62b331ce.html
3.W3C擴展日志檔案格式:
轉自博客:https://www.cnblogs.com/fox-yu/p/7965509.html
下面是一段常見的IIS生產的W3C擴展WEB日志:
2011-09-01 16:02:22 GET /Enterprise/detail.asp 70.25.29.53 http:/ /www .example.com/searchout.asp 202 17735 369 4656
date time s-ip cs-method cs-uri-stem cs-uri-query s-port(#7) cs-username c-ip cs(User-Agent) cs(Cookie) cs(Referer) cs-host sc-status sc-substatus sc-win32-status time-taken
這個日志可以解讀為:IP是70.25.29.53,來自"http://www.example.com/searchout.asp"的訪客,在2011-09-01 16:02:22,訪問(GET)了主機的/Enterprise/detail.asp,訪問成功,得到17735位元組資料,
目前常見的WEB日志格式主要由兩類,一類是Apache的NCSA日志格式,另一類是IIS的W3C日志格式,NCSA格式又分為NCSA普通日志格式 (CLF)和NCSA擴展日志格式(ECLF)兩類,目前最常用的是NCSA擴展日志格式(ECLF)及
基于自定義型別的Apache日志格式;而W3C 擴展日志格式(ExLF)具備了更為豐富的輸出資訊,主要是微軟IIS(Internet Information Services)中應用,
日期:date 動作發生時的日期,
時間:time 動作發生時的時間(默認為UTC標準),
客戶端IP地址:c-ip 訪問服務器的客戶端IP地址,
用戶名:cs-username 通過身份驗證的訪問服務器的用戶名,不包括匿名用戶(用‘-’表示),
服務名:s-sitename 客戶所訪問的Internet服務名以及實體號,
服務器名:s-computername 產生日志條目的服務器的名字,
服務器IP 地址:s-ip 產生日志條目的服務器的IP地址,
服務器埠:s-port 服務端提供服務的傳輸層埠,
方法:cs-method 客戶端執行的行為(主要是GET與POST行為),
URI Stem:cs-uri-stem 被訪問的資源,如Default.asp等,
URI Query:cs-uri-query 客戶端提交的引數(包括GET與POST行為),
協議狀態:sc-status 用HTTP或者FTP術語所描述的、行為執行后的回傳狀態,
Win32狀態:sc-win32-status 用Microsoft Windows的術語所描述的動作狀態,
發送位元組數:sc-bytes 服務端發送給客戶端的位元組數,
接受位元組數:cs-bytes 服務端從客戶端接收到的位元組數,
花費時間:time-taken 執行此次行為所消耗的時間,以毫秒為單位,
協議版本:cs-version 客戶端所用的協議(HTTP、FTP)版本,對HTTP協議來說是HTTP 1.0或者HTTP 1.1,
主機:cs-host 客戶端的HTTP報頭(host header)資訊,
用戶代理:cs(User-Agent) 客戶端所用的瀏覽器版本資訊,
Cookie:cs(Cookie) 發送或者接受到的cookie內容,
Referrer:cs(Referer) 用戶瀏覽的前一個網址,當前網址是從該網址鏈接過來的,
協議底層狀態:sc-substatus 協議底層狀態的一些錯誤資訊,
二、使用Splunk大資料引擎分析IIS日志(Win10虛擬機為例):
1.步驟:
打開虛擬機Dos指令輸入“net start splunkd”打開splunk服務,稍等幾秒(打開默認埠為8080)——輸入用戶名密碼即可登錄splinkd界面,如圖(登錄界面):
2.搜索、處理IIS日志資料的命令:
source="oa_pc_iis_logs.log" host="oa_pc_iis_logs" index="main" sourcetype="iis"
3.統計所搜索的資料(可提供可視化的百分比顯示)
source="oa_pc_iis_logs.log" host="oa_pc_iis_logs" index="main" sourcetype="iis" | stats count by sc_status | sort - count
4.夸張腳本攻擊/嘗試指令:
source="security_edu_u_ex2014_1.log" host="security_edu_u_ex2014_1" index="main" sourcetype="iis" "alert" sc_status=200
5.訪問網頁的例外情況:
source="security_edu_u_ex2014_1.log" host="security_edu_u_ex2014_1" index="main" sourcetype="iis" sc_status=200 cs_method=GET ORcs_method=POST cs_uri_stem=*.aspx| stats count by cs_uri_stem | sort by count
轉載請註明出處,本文鏈接:https://www.uj5u.com/caozuo/4960.html
標籤:Windows