10個好用的Web日志安全分析工具推薦小結_安全相關

來源:腳本之家  責任編輯:小易  

利用Windows 2003服務器的2113遠程維護功能,并通過IE瀏覽界面5261,就能對服務器的日4102志文件進行遠程查看了1653,不過默認狀態下,Windows 2003服務器的遠程維護功能并沒有開通,需要手工啟動。 查看服務器日志文件的作用   網站服務器日志記錄了web服務器接收處理請求以及運行時錯誤等各種原始信息。通 過對日志進行統計、分析、綜合,就能有效地掌握服務器的運行狀況,發現和排除錯誤原 因、了解客戶訪問分布等,更好的加強系統的維護和管理。   對于自己有服務器的朋友或是有條件可以看到服務器日志文件的朋友來說,無疑是了 解搜索引擎工作原理和搜索引擎對網頁抓取頻率的最佳途徑。   通過這個文件,您可以了解什么搜索引擎、什么時間、抓取了哪些頁面,以及可以知 道是主搜索蜘蛛還是從搜索蜘蛛抓取了您的網站等的信息。   訪問原理   1、客戶端(瀏覽器)和Web服務器建立TCP連接,連接建立以后,向Web服務器發出 訪問請求(如:Get),根據HTTP協議該請求中包含了客戶端的IP地址、瀏覽器類型、 請求的URL等一系列信息! 2、Web服務器收到請求后,將客戶端要求的頁面內容返回到客戶端。如果出現錯誤,那么返回錯誤代碼! 3、服務器端將訪問信息和錯誤信息紀錄到日志文件里。   下面我們就對本公司自己服務器其中的一個日志文件進行分析。由于文件比較長,所以我們只拿出典型的幾種情況來說明。   #Software: Microsoft Internet Information Services 6.0  #Version: 1.0  #Date: 2006-05-12 03:56:30  #Fields: date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status  2006-05-12 03:56:30 三圓三圓三圓** 218.25.92.169 GET / - 80 - 220.181.18.98 Baiduspider+(+http://www.baidu.com/search/spider.htm) 403 14 5   /* 說明 */  上面定義了在2006年5月12日的3點56分30秒的時候,IP為220.181.18.98的百度蜘蛛通過80端口(HTTP)訪問了IP為218.25.92.169的服務器的根目錄,但被拒絕。   #Software: Microsoft Internet Information Services 6.0  #Version: 1.0  #Date: 2006-05-12 10:18:39  #Fields: date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status  2006-05-12 10:33:36 三圓三圓三圓** 218.25.92.169 GET /***/index.htm - 80 - 10.2.57.6 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0  2006-05-12 10:33:36 三圓三圓三圓** 218.25.92.169 GET /***/***/***.gif - 80 - 10.2.57.6 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0   /* 說明 */  上面定義了在2006年5月12日的10點33分36秒的時候,IP為10.2.57.6的用戶正常訪問了網站三圓三圓三圓**中***目錄下的index.htm頁和***/***下的***。gif圖片。   #Software: Microsoft Internet Information Services 6.0  #Version: 1.0  #Date: 2006-05-12 13:17:46  #Fields: date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status  2006-05-12 13:17:46 三圓三圓三圓** 218.25.92.169 GET /robots.txt - 80 - 66.249.66.72 Mozilla/5.0+(compatible;+Googlebot/2.1;++http://www.google.com/bot.html) 404 0 2  2006-05-12 13:17:46 三圓三圓三圓** 218.25.92.169 GET / - 80 - 66.249.66.72 Mozilla/5.0+(compatible;+Googlebot/2.1;++http://www.google.com/bot.html) 403 14 5   /* 說明 */  上面定義了在2006年5月12日的13點17分46秒的時候,IP為66.249.66.72的Google蜘蛛訪問了robots.txt文件,但沒有找到此文件,有訪問了此網站的根目 錄,但被拒絕。   現在也有很多日志分析工具,如果您的服務器流量很大的話,作者推薦使用分析工具來分析服務器日志,  這些日志信息對計2113算機犯罪調查人員非常有用。5261所謂日4102志是指系統所指定對象的某些1653操作和其操作結果按時間有序的集合。每個日志文件由日志記錄組成.每條日志記錄描述了一次單獨的系統事件。通常情況下,系統日志是用戶可以直接閱讀的文本文件,其中包含了一個時間戳和一個信息或者子系統所特有的其他信息。日志文件為服務器、工作站、防火墻和應用軟件等IT資源相關活動記錄必要的、有價值的信息,這對系統監控、查詢、報表和安全審汁是十分重要的。日志文件中的記錄可提供以下用途:監控系統資源,審汁用戶行為,對可疑行為進行報警,確定入侵行為的范圍,為恢復系統提供幫助,生成調查報告,為打擊計算機犯罪提供證據來源。在windows操作系統中有一位系統運行狀況的忠實記錄者,它可以詳細記錄計算機從開機、運行到關機過程中發生的每一個事件,它就是“事件查看器”。用戶可以利用這個系統維護工具,收集有關硬件、軟件、系統問題方面的信息,并監視系統安全事件,將系統和其他應用程序運行中的錯誤或警告事件記錄下來,便于診斷和糾正系統發生的錯誤和問題?梢噪p擊“控制面板”中“管理工具”中的“事件查看器”,打開事件查看器窗口本回答被網友采納www.anxorj.tw防采集請勿采集本網。

經常聽到有朋友問,有沒有比較好用的web日志安全分析工具?

安全日志是安全員在一天中執行安全管理工作情況的記錄,是分析研究施工安全管理的參考資料,也是發生安全生產事故后,是可追溯檢查的最具可靠性和權威性的原始記錄之一,認定責任的重要的書證之一。

首先,我們應該清楚,日志文件不但可以幫助我們溯源,找到入侵者攻擊路徑,而且在平常的運維中,日志也可以反應出很多的安全攻擊行為。

四、查看某類日志記錄非常簡單,筆者以查看Web管理容日志為例,點擊“Web管理日志”鏈接,進入日志查看頁面,在日志文件列表框中選中要查看的日志文件,然后點擊右側的“查看日志”按鈕,就能瀏覽Web管理

一款簡單好用的Web日志分析工具,可以大大提升效率,目前業內日志分析工具比較多,今天推薦十個比較好用的Web日志安全分析工具。

安全隱患:1.發生火災、2觸電、3.燙傷,摔傷等意外傷害、4.燃氣泄漏發生爆炸火災人員傷亡、5.電器引發的爆炸 解決辦法:1.出門及時關閉火源,用電設備、2.使用帶電設備,注意保持干燥,不要私接

1、360星圖

一款非常好用的網站訪問日志分析工具,可以有效識別Web漏洞攻擊、CC攻擊、惡意爬蟲掃描、異常訪問等行為。一鍵自動化分析,輸出安全分析報告,支持iis/apache/nginx日志,支持自定義格式。

下載地址:

https://wangzhan.qianxin.com/activity/xingtu

本地下載地址

http://www.anxorj.tw/softs/270178.html

2、LogForensics

Tsrc提供的一款日志分析工具,可從單一可疑線索作為調查起點,遍歷所有可疑url(CGI)和來源IP。

相關下載地址:

https://security.tencent.com/index.php/opensource/detail/15

3、GoAccess

一款可視化 Web 日志分析工具,通過Web 瀏覽器或者 *nix 系統下的終端程序即可訪問。能為系統管理員提供快速且有價值的 HTTP 統計,并以在線可視化服務器的方式呈現。

官網地址:

https://www.goaccess.cc/

4、AWStats

一款功能強大的開源日志分析系統,可以圖形方式生成高級Web,流媒體,ftp或郵件服務器統計信息。

官網地址:

http://www.awstats.org/

5、Logstalgia

一款非常炫酷且可視化日志分析工具,可以直觀的展示CC攻擊和網站的日志分析,并以可視化的3D效果展示出來。

下載地址:

http://www.softpedia.com/get/Internet/Servers/Server-Tools/Logstalgia.shtml

6、FinderWeb

程序員的看日志利器,支持,tail, less, grep,支持超大的文本文件,從幾M到幾十G的日志文件都流暢自如。

下載使用:

http://www.finderweb.net/download.html

7、web-log-parser

一款開源的分析web日志工具,采用python語言開發,具有靈活的日志格式配置。

github項目地址:

https://github.com/JeffXue/web-log-parser

8、ELK

開源實時日志分析的ELK平臺,由ElasticSearch、Logstash和Kiabana三個開源項目組成,在企業級日志管理平臺中十分常見。

下載使用:

https://www.elastic.co/cn/elastic-stack

9、Splunk

一款頂級的日志分析軟件,如果你經常用 grep、awk、sed、sort、uniq、tail、head 來分析日志,那么你可以很容易地過渡到Splunk。

下載地址:

https://www.splunk.com/zh-hans_cn/download/splunk-enterprise.html

10、IBM QRadar

Qradar有一個免費的社區版本,功能上和商用版本差別不大,適合小規模日志和流量分析使用。

下載地址:

https://developer.ibm.com/qradar/ce/

到此這篇關于10個好用的Web日志安全分析工具推薦小結的文章就介紹到這了,更多相關Web日志安全分析工具內容請搜索真格學網以前的文章或繼續瀏覽下面的相關文章希望大家以后多多支持真格學網!

Apache 服務器預安裝在2113Kali Linux可以5261用以下命令開啟:4102service apache2 startMySQL預安裝在Kali Linux可以用以下命令開啟:service mysql start使用PHP-MySQL創建一1653個有漏洞的web應用我使用PHP開發了一個有漏洞的web應用并且把它放在上面提到的 Apache-MySQL里面。上述設置完成后,我用了一些Kali Linux中的自動工具(ZAP、w3af)掃描這個有漏洞的應用的URL,F在讓我們來看看分析日志中的不同情況。0x02 Apache服務中的日志記錄Debian系統上Apache服務器日志的默認位置為:/var/log/apache2/access.log日志記錄只是在服務器上存儲日志。我還需要分析日志以得出正確結果。在接下來的一節里,我們將看到我們如何分析Apache服務器的訪問日志以找出web站點上是否有攻擊嘗試。分析日志手動檢查在日志量較小的情況下,或者如果我們查找一個指定關鍵詞,可以使用像grep表達式這樣的工具觀察日志。在下圖中,我們在URL中試圖搜尋所有關鍵詞為“union”的請求。從上圖中,我們可以看到URL中的“union select 1,2,3,4,5”請求。很明顯,ip地址為 192.168.56.105的某人嘗試了SQL注入。 類似地,當我們有自己的關鍵詞時可以搜索特殊的關鍵詞。在下圖中,我們正在搜索試圖讀取“/etc/passwd”的請求,很明顯是本地文件包含嘗試。如上面的截圖所示,我們有許多本地文件包含的嘗試,且這些請求發送自ip地址 127.0.0.1。很多時候,能輕易通過日志看出是否是自動化掃描器產生的。舉例來說, IBM appscan在許多攻擊payload中使用“appscan”這個詞。所以,在日志中查看這樣的請求,我們基本就可以判斷有人在使用appscan掃描網站。Microsoft Excel也是一個打開日志文件和分析日志的不錯的工具。我們可以通過指定“空格”為分隔符以用excel打開日志文件。當我們手頭沒有日志分析工具時,這個也挺好用的。除了這些關鍵詞,在分析期間要了解HTTP狀態代碼的基礎知識。以下是關于HTTP狀態代碼的高級信息的表格。0x03 Web shellswebshell是網站/服務器的另一個問題。webshell可以已web server權限控制服務器。在一些情況下,我們可以使用webshell來訪問所有放在相同服務器上的其他站點。以下截圖顯示了Microsoft Excel 中開啟相同的access.log文件。我們清楚地看到有一個叫“b374k.php”的文件被訪問了!癰374k”是一個流行的webshell,因此這個文件是很可疑的。查看相應代碼“200”,本行表明有人上傳了一個webshell并訪問了它。在許多情況下,攻擊者重命名webshell的名字以避免懷疑。我們必須變得聰明點,看看被訪問的文件是否是常規文件或者是否他們看起來不太一樣。我們可以更進一步,如果任何文件看起來可疑的話,還可以查看文件類型和時間戳。One single quote for the winSQL注入是web應用中最常見的漏洞之一。大多數學習web應用安全的人是從學習SQL注入開始的。識別一個傳統的SQL注入很容易,給URL參數添加一個單引號看看是否報錯。任何我們傳遞給服務器的東西都會被記錄,并且可以朔源。以下截圖顯示了日志當中記錄了有對參數user傳入單引號測試是否有SQL注入的行為。%27是單引號的URL編碼。出于管理目的,我們還可以運行查詢監視來查看數據庫中的哪個請求被執行了。如果我們觀察以上圖片,傳遞一個單引號給參數“user”的SQL語句被執行了。0x04 使用自動化工具分析當存在大量日志時。手動檢查就會變得困難。在這種情景下,除了一些手動檢查之外我們可以使用自動化工具。雖然有許多高效的商業工具,但是我要向你們介紹一款被稱為“Scalp”的免費工具。據他們的官方鏈接所說,Scalp是用于Apache服務器,旨在查找安全問題的日志分析器。主要理念是瀏覽大量日志文件并通過從HTTP/GET中提取可能的攻擊。Scalp可以從以下鏈接下載:https://code.google.com/p/apache-scalp/Scalp是python腳本,所以要求我們的機器中安裝python。以下圖片顯示該工具的幫助。如我們在上圖所見,我們需要使用標志-l來提供要分析的日志文件。同時,我們需要提供使用標志-f提供一個過濾文件讓Scalp在access.log文件中識別可能的攻擊。我們可以使用PHPIDS項目中的過濾器來檢測任何惡意的嘗試。該文件名為“default_filter.xml ”,可以從以下鏈接中下載:https://github.com/PHPIDS/PHPIDS/blob/master/lib/IDS/default_filter.xml以下代碼塊是取自上面鏈接的一部分。1234567891011 <filter> <id>12</id> <rule><![CDATA[(?:etc\/\W*passwd)]]></rule> <description>Detects etc/passwd inclusion attempts</description> <tags> <tag>dt</tag> <tag>id</tag> <tag>lfi</tag> </tags> <impact>5</impact></filter>它是使用XML標簽定義的規則集來檢測不同的攻擊測試。以上代碼片段是檢測文件包含攻擊嘗試的一個示例。下載此文件之后,把它放入Scalp的同一文件夾下。運行以下命令來使用Scalp分析日志。1 python scalp-0.4.py –l /var/log/apache2/access.log –f filter.xml –o output –html“output”是報告保存的目錄。如果不存在的話,由Scalp自動創建。-html是用來生成HTML格式的報告。 如我們在上圖看到的那樣,Scalp結果表明它分析了4001行,超過4024并發現了296個攻擊模式。運行上述命令后在輸出目錄內生成報告。我們可以在瀏覽器內打開它并查看結果。 下面截圖顯示的輸出顯示了目錄遍歷攻擊嘗試的一小部分。MySQL中的日志記錄本節論述了數據庫中的攻擊分析和監視它們的方法。第一步是查看設置了什么變量。我們可以使用“show variables;”完成,如下所示。接下來顯示了上述命令的輸出。如我們在上圖中看到的,日志記錄已開啟。該值默認為OFF。這里另一個重要的記錄是 “log_output”,這是說我們正在把結果寫入到文件中。另外,我們也可以用表。我們可以看見“log_slow_queries”為ON。默認值為OFF。所有這些選項都有詳細解釋且可以在下面提供的MySQL文檔鏈接里直接閱讀:MySQL的查詢監控請求日志記錄從客戶端處收到并執行的語句。默認記錄是不開啟的,因為比較損耗性能。我們可以從MySQL終端中開啟它們或者可以編輯MySQL配置文件,如下圖所示。我正在使用VIM編輯器打開位于/etc/mysql目錄內的“my.cnf”文件。如果我們向下滾動,可以看見日志正被寫入一個稱為“mysql.log”的文件內。我們還能看到記錄“log_slow_queries” ,是記錄SQL語句執行花了很長時間的日志,F在一切就緒。如果有人用惡意查詢數據庫,我們可以在這些日志中觀察到。如下所示:上圖顯示了查詢命中了名為“webservice”的數據庫并試圖使用SQL注入繞過認證內容來自www.anxorj.tw請勿采集。


  • 本文相關:
  • web前端開發也需要日志
  • web服務器日志統計分析完全解決方案
  • discuz! 4.x sql injection / admin credentials disclosure exp
  • 分析攻擊ip來源地與防御ip攻擊的應對策略
  • 天意商務系統后臺管理帳號破解html版
  • 菜鳥黑客入門攻擊及防范技巧
  • 利用google作黑客攻擊的原理
  • 如何利用html格式化你的硬盤
  • asp漏洞全接觸-進階篇
  • 怎么查qq聊天記錄 怎樣恢復刪除的手機qq聊天記錄技巧?
  • 惡意代碼與網絡安全
  • 一個黑客必備的基本技能
  • web日志分析工具 怎么確認被攻擊
  • 如何查看Web服務器日志
  • 如何做日志分析
  • 如何提高WEB系統的安全性
  • 安全生產工作日志
  • 電腦里的日志有什么作用?查看的是哪些內容?
  • 家里有什么安全隱患,該怎么解決,怎么寫報告書
  • 求20篇化工廠實習日記
  • 網站首頁網頁制作腳本下載服務器操作系統網站運營平面設計媒體動畫電腦基礎硬件教程網絡安全javascriptasp.netphp編程ajax相關正則表達式asp編程jsp編程編程10000問css/htmlflex腳本加解密web2.0xml/rss網頁編輯器相關技巧安全相關網頁播放器其它綜合dart首頁安全相關web前端開發也需要日志web服務器日志統計分析完全解決方案discuz! 4.x sql injection / admin credentials disclosure exp分析攻擊ip來源地與防御ip攻擊的應對策略天意商務系統后臺管理帳號破解html版菜鳥黑客入門攻擊及防范技巧利用google作黑客攻擊的原理如何利用html格式化你的硬盤asp漏洞全接觸-進階篇怎么查qq聊天記錄 怎樣恢復刪除的手機qq聊天記錄技巧?惡意代碼與網絡安全一個黑客必備的基本技能看別人怎么查qq聊天記錄 比較詳細怎么查qq聊天記錄 怎樣恢復刪除的qq聊天記錄刪除了怎么恢復簡單方密碼破解全教程跨站式腳本(cross-sitescripting攻擊方式學習之sql注入(sql inje如何成為一名黑客全系列說明js和c#分別防注入代碼跨站腳本攻擊xss(cross site sc防止電腦被他人控制密碼知識教程一如何成為一名黑客全系列說明全力打造個人網絡安全之xp篇跨站腳本攻擊xss(cross site script)的對錯誤,漏洞和exploits的說明小心你的 adsl貓被黑網絡后門面面觀asp漏洞全接觸-入門篇詳解xss 和 csrf簡述及預防措施超全的webshell權限提升方法
    免責聲明 - 關于我們 - 聯系我們 - 廣告聯系 - 友情鏈接 - 幫助中心 - 頻道導航
    Copyright © 2017 www.anxorj.tw All Rights Reserved
    陕西快乐10分下载