Windows Apache日志提取和安全分析
一、Apache日志介紹:
1.Apache的訪問日志功能由mod_log_config功能模塊提供,日志格式為(CLF)Common Log Format,
2.Apache日志的八個級別:emerg、alert、crit、error、warn、notice、info和debug,
emerg:出現緊急情況使得系統不可用(例如系統宕機);
alert:需要立即引起注意的情況;
crit:危險情況的警告;
error:除了以上三種錯誤以外其他錯誤;
warn:警告資訊,默認級別;
notice:需要引起注意的情況;
info:值得報告的一般訊息;
debug:由運行于debug模式的程式所產生的訊息,資訊量最大,
注:級別越高,日志記錄的資訊量就越大;寫日志會給系統帶來很大損耗,關閉日志功能后,甚至最高可以提高整體性能近40%,但是關閉日志,系統會很不穩定,因此降低log級別的辦法來減少日志讀寫,
3.Apache日志格式:
打開Apache的組態檔,搜索"LogFormat"即可查看訪問的日志格式,圖為組態檔:
日志各字符含義介紹:
日志樣例:
192.168.1.6 - - [12/Dec/2018:03:31:50 -0800] "GET /1.jsp HTTP/1.1" 200 1045 "-" "Mozilla/5.0 (Windows NT 10.0; Win64;x64; rv:52.0) Gecko/20100101 Firefox/52.0"
欄位1($1):遠程主機IP地址;
欄位2($2):占位符;
欄位3($3):占位符;
欄位4($4):服務器完成請求處理所在的時間,例如: [01/Nov/2018:04:22:07];
欄位5($5):+800,時區;
欄位6($6):請求方法;
欄位7($7):資源URL;
欄位8($8):HTTP/1.1,協議;
欄位9($9):回傳狀態,例如200/404/302等;
欄位10($10): bytes,發送給客戶端的總位元組數,
二、日志分析工具:
1.使用awk等默認的Linux命令列工具,可以分析所需要的的Apache日志;
2.Splunk工具(使用方式見上一篇博客,傳送門:https://www.cnblogs.com/catt1e/p/12419529.html),
轉載請註明出處,本文鏈接:https://www.uj5u.com/caozuo/4961.html
標籤:Windows