Windows IIS日誌提取和安全檢查分析 一、IIS日誌介紹: 1.IIS簡介: IIS全稱Internet Information Services,是由微軟公司提供的基於運行Microsoft Windwos的互聯網基本服務,IIS是一種Web(網頁)服務組件,其中包括Web伺服器、FTP服 ...
Windows IIS日誌提取和安全檢查分析
一、IIS日誌介紹:
1.IIS簡介:
IIS全稱Internet Information Services,是由微軟公司提供的基於運行Microsoft Windwos的互聯網基本服務,IIS是一種Web(網頁)服務組件,其中包括Web伺服器、FTP伺服器、NNTP伺服器和SMTP伺服器,分別用於網頁瀏覽、文
件傳輸、新聞服務和郵件發送等方面,它使得在網路(包括互聯網和區域網)上發佈信息成了一件很容易的事。
IIS可設置的內容包括:虛擬目錄及訪問許可權、預設文件名稱、目錄瀏覽。
2.IIS日誌的路徑:
Server 2003,路徑為:C:\WINDOWS\system32\LogFiles;
Server 2008/R2,路徑為:C:\inetpub\logs\LogFiles。
Win10系統預設的IIS服務是關閉的,如果需要開啟服務,參考:https://jingyan.baidu.com/article/ea24bc39c43d72da62b331ce.html
3.W3C擴展日誌文件格式:
轉自博客:https://www.cnblogs.com/fox-yu/p/7965509.html
下麵是一段常見的IIS生產的W3C擴展WEB日誌:
2011-09-01 16:02:22 GET /Enterprise/detail.asp 70.25.29.53 http:/ /www .example.com/searchout.asp 202 17735 369 4656
date time s-ip cs-method cs-uri-stem cs-uri-query s-port(#7) cs-username c-ip cs(User-Agent) cs(Cookie) cs(Referer) cs-host sc-status sc-substatus sc-win32-status time-taken
這個日誌可以解讀為:IP是70.25.29.53,來自"http://www.example.com/searchout.asp"的訪客,在2011-09-01 16:02:22,訪問(GET)了主機的/Enterprise/detail.asp,訪問成功,得到17735位元組數據。
目前常見的WEB日誌格式主要由兩類,一類是Apache的NCSA日誌格式,另一類是IIS的W3C日誌格式。NCSA格式又分為NCSA普通日誌格式 (CLF)和NCSA擴展日誌格式(ECLF)兩類,目前最常用的是NCSA擴展日誌格式(ECLF)及
基於自定義類型的Apache日誌格式;而W3C 擴展日誌格式(ExLF)具備了更為豐富的輸出信息,主要是微軟IIS(Internet Information Services)中應用。
日期:date 動作發生時的日期。
時間:time 動作發生時的時間(預設為UTC標準)。
客戶端IP地址:c-ip 訪問伺服器的客戶端IP地址。
用戶名:cs-username 通過身份驗證的訪問伺服器的用戶名。不包括匿名用戶(用‘-’表示)。
服務名:s-sitename 客戶所訪問的Internet服務名以及實例號。
伺服器名:s-computername 產生日誌條目的伺服器的名字。
伺服器IP 地址:s-ip 產生日誌條目的伺服器的IP地址。
伺服器埠:s-port 服務端提供服務的傳輸層埠。
方法:cs-method 客戶端執行的行為(主要是GET與POST行為)。
URI Stem:cs-uri-stem 被訪問的資源,如Default.asp等。
URI Query:cs-uri-query 客戶端提交的參數(包括GET與POST行為)。
協議狀態:sc-status 用HTTP或者FTP術語所描述的、行為執行後的返回狀態。
Win32狀態:sc-win32-status 用Microsoft Windows的術語所描述的動作狀態。
發送位元組數:sc-bytes 服務端發送給客戶端的位元組數。
接受位元組數:cs-bytes 服務端從客戶端接收到的位元組數。
花費時間:time-taken 執行此次行為所消耗的時間,以毫秒為單位。
協議版本:cs-version 客戶端所用的協議(HTTP、FTP)版本。對HTTP協議來說是HTTP 1.0或者HTTP 1.1。
主機:cs-host 客戶端的HTTP報頭(host header)信息。
用戶代理:cs(User-Agent) 客戶端所用的瀏覽器版本信息。
Cookie:cs(Cookie) 發送或者接受到的cookie內容。
Referrer:cs(Referer) 用戶瀏覽的前一個網址,當前網址是從該網址鏈接過來的。
協議底層狀態:sc-substatus 協議底層狀態的一些錯誤信息。
二、使用Splunk大數據引擎分析IIS日誌(Win10虛擬機為例):
1.步驟:
打開虛擬機Dos指令輸入“net start splunkd”打開splunk服務,稍等幾秒(打開預設埠為8080)——輸入用戶名密碼即可登錄splinkd界面,如圖(登錄界面):
2.搜索、處理IIS日誌數據的命令:
source="oa_pc_iis_logs.log" host="oa_pc_iis_logs" index="main" sourcetype="iis"
3.統計所搜索的數據(可提供可視化的百分比顯示)
source="oa_pc_iis_logs.log" host="oa_pc_iis_logs" index="main" sourcetype="iis" | stats count by sc_status | sort - count
4.誇張腳本攻擊/嘗試指令:
source="security_edu_u_ex2014_1.log" host="security_edu_u_ex2014_1" index="main" sourcetype="iis" "alert" sc_status=200
5.訪問網頁的異常情況:
source="security_edu_u_ex2014_1.log" host="security_edu_u_ex2014_1" index="main" sourcetype="iis" sc_status=200 cs_method=GET ORcs_method=POST cs_uri_stem=*.aspx| stats count by cs_uri_stem | sort by count
