Windows Apache日誌提取和安全分析 一、Apache日誌介紹: 1.Apache的訪問日誌功能由mod_log_config功能模塊提供,日誌格式為(CLF)Common Log Format。 2.Apache日誌的八個級別:emerg、alert、crit、error、warn、no ...
Windows Apache日誌提取和安全分析
一、Apache日誌介紹:
1.Apache的訪問日誌功能由mod_log_config功能模塊提供,日誌格式為(CLF)Common Log Format。
2.Apache日誌的八個級別:emerg、alert、crit、error、warn、notice、info和debug。
emerg:出現緊急情況使得系統不可用(例如系統宕機);
alert:需要立即引起註意的情況;
crit:危險情況的警告;
error:除了以上三種錯誤以外其他錯誤;
warn:警告信息,預設級別;
notice:需要引起註意的情況;
info:值得報告的一般消息;
debug:由運行於debug模式的程式所產生的消息,信息量最大。
註:級別越高,日誌記錄的信息量就越大;寫日誌會給系統帶來很大損耗,關閉日誌功能後,甚至最高可以提高整體性能近40%,但是關閉日誌,系統會很不穩定,因此降低log級別的辦法來減少日誌讀寫。
3.Apache日誌格式:
打開Apache的配置文件,搜索"LogFormat"即可查看訪問的日誌格式。圖為配置文件:
日誌各字元含義介紹:
日誌樣例:
192.168.1.6 - - [12/Dec/2018:03:31:50 -0800] "GET /1.jsp HTTP/1.1" 200 1045 "-" "Mozilla/5.0 (Windows NT 10.0; Win64;x64; rv:52.0) Gecko/20100101 Firefox/52.0"
欄位1($1):遠程主機IP地址;
欄位2($2):占位符;
欄位3($3):占位符;
欄位4($4):伺服器完成請求處理所在的時間,例如: [01/Nov/2018:04:22:07];
欄位5($5):+800,時區;
欄位6($6):請求方法;
欄位7($7):資源URL;
欄位8($8):HTTP/1.1,協議;
欄位9($9):返回狀態,例如200/404/302等;
欄位10($10): bytes,發送給客戶端的總位元組數。
二、日誌分析工具:
1.使用awk等預設的Linux命令行工具,可以分析所需要的的Apache日誌;
2.Splunk工具(使用方式見上一篇博客,傳送門:https://www.cnblogs.com/catt1e/p/12419529.html)。
