❶ 伺服器日誌分析工具,怎樣查看伺服器日誌監控
工具/原料
網站伺服器、運行中網站
網站日誌分析工具、FTP工具
網站日誌查看流程
登錄虛擬主機的管理系統(本經驗以萬網為例),輸入主機的賬號以及密碼,登陸。操作如下所示:
登錄系統後台,找到"網站文件管理"中的"weblog日誌下載",並點擊。操作
點擊"weblog日誌下載",可以看到很多以"ex"+時間命名的壓縮文件可以下載。選擇所需要下載的網站日喚咐志,點擊下載。操作如下所示:
登錄FTP工具,在根目錄下找到"wwwlogs"文件,下載所需的壓縮文件。注意:不同程序,日誌存放目錄不一樣。操作
網上有很多日誌分析軟體,本經驗以"光年seo日誌分析系統"這款軟體為例晌此子,點擊"新建分析任務"。操作
在"任務導向"中,按照實際要求改任務名以及日誌類別。宴鏈迅一般情況下可以不用修改。點擊系下一步,操作
接著上一步,在"任務導向"中添加所需要分析的網站日誌(也就是本經驗第三步下載的文件),添加文件可以是一個或者多個。點擊系下一步,操作
接著上一步,在"任務導向"中選擇報告保存目錄。點擊系下一步,操作
完成之後,軟體會生成一件文件夾,包含一個"報告"網頁以及"files"文件,點擊"報告"網頁就可以查看網站日誌數據了。
❷ 如何保護Web伺服器中日誌安全
Web日誌記錄了web伺服器接收處理請求,以及其運行時的錯誤等各種原始信息。通過對日誌進行統計、分析、綜合,就能有效地掌握伺服器的運行狀況,發現和排除錯誤、了解客戶訪問分布等,方便管理員更好地加強伺服器的維護和管理。另外,Web日誌也是判斷伺服器安全的一個重要依據,通過其可以分析判斷伺服器是否被入侵,並通過其可以對攻擊者進行反向跟蹤等。因此,對於Web日誌攻擊者往往以除之而後快。
一、攻擊者清除日誌的常用伎倆 1、Web伺服器系統中的日誌 以WindowsServer 2003平台的Web伺服器為例,其日誌包括:安全日誌、系統日誌、應用程序日誌、WWW日誌、FTP日誌等。對於前面的三類日誌可以通過「開始→運行」輸入eventvwr.msc打開事件查看器進行查看,WWW日誌和FTP日誌以log文件的形式存放在硬碟中。具體來說這些日誌對應的目錄和文件為: (1).安全日誌文件:C:WINDOWSsystem32configSecEvent.Evt (2).系統日誌文件:C:WINDOWSsystem32configSysEvent.Evt (3).應用程序日誌文件:C:WINDOWSsystem32configAppEvent.Evt (4).FTP日誌默認位置:C: (5).WWW日誌默認位置:C:、非法清除日誌 上述這些日誌在伺服器正常運行的時候是不能被刪除的,FTP和WWW日誌的刪除可以先把這2個服務停止掉,然後再刪除日誌文件,攻擊者一般不會這么做的。系統和應用程序的日誌是由守護服務Event Log支持的,而它是沒有辦法停止的,因而是不能直接刪除日誌文件的。攻擊者在拿下Web伺服器後,一般會採用工具進行日誌的清除,其使用的工具主要是CL和CleanIISLog。 (1).利用CL徹底清除日誌 這個工具可以徹底清除IIS日誌、FTP日誌、計劃任務日誌、系統日誌、安全日誌等,使用的操作非常簡單。 在命令下輸入「cl -logfiles 127.0.0.1」就可以清除Web伺服器與Web和FTP和計劃任務相關的日誌。其原理就是先把FTP、WWW、Task Scheler服務停止再刪除日誌,然後再啟動三個服務。(圖2)celialin 該工具還可以選擇性地清除相應的日誌,比如輸入「cl -eventlog All」就會清除Web伺服器中與系統相關的日誌。另外,此工具支持遠程清理,這是攻擊者經常採用的方法。首先他們通過命令「netuse ipipc$ 密碼/user:用戶名」在本地和伺服器建立了管理員許可權的IPC管理連接,然後用「CL -LogFile IP」命令遠程清理服務日誌。(圖3)
(2).利用CleanIISLog選擇性地清理IIS日誌 比如攻擊者通過Web注入方式拿下伺服器,這樣他的入侵痕跡(IP地址)都留在了IIS日誌里。他們利用該工具只把其在IIS日誌中的IP地址進行清除,這樣就不會讓對方管理員起疑心。 在命令中執行「CleanIISLog . IP」就可以清除IIS日誌中有關該IP的連接記錄同時保留其它IP記錄。如果管理做了防範,比如更改了IIS日誌的路徑,攻擊者在確定了日誌的路徑後,也可以通過該工具進行清除,其操作是,在命令行下執行「CleanIISLog IIS日誌路徑 IP地址」來清除指定IIS路徑的IP記錄。(圖4)二、打造日誌伺服器保護日誌 通過上面的演示可以看到,如果將伺服器的日誌保存在本地是非常不安全的。而且,如果企業中的伺服器非常多的話,查看日誌會非常麻煩。基於以上考慮,打造專門的日誌伺服器,即有利於伺服器日誌的備份又有利用於集中管理。 筆者的做法是,搭建一個FTP伺服器用來日誌的集中和備份,可以在伺服器中通過專門的工具或者計劃任務來實現日誌的自動上傳備份。這部分內容比較簡單,筆者就不演示了。其實不僅可以將伺服器日誌備份到專門的日誌伺服器上,日誌伺服器還可以實現網路設備的日誌備份。 以路由器為例,首先在其上進行設置,指定記錄日誌的伺服器,最後通過FTP協議將日誌數據傳輸到FTP伺服器上。搭建FTP伺服器可以利用IIS的FTP或者Serv-u,但是筆者覺得IIS的FTP在許可權分配上不夠方便,而Serv-u有漏洞太多,因此推薦TYPSoft FTP。 1、架設日誌伺服器 TYPSoft FTP是綠色軟體,下載解壓後雙擊ftpserv.exe文件,啟動typsoft fip主程序。啟動後,點擊主界面菜單中的「設定→用戶」,建立新賬戶log。接著在用戶界面中設置log賬號所對應的用戶密碼和日誌保存的目錄,最後點擊「保存」按鈕使設置生效,這樣日誌伺服器就架好了。(圖5)2、日誌伺服器的指定 當搭建好日誌伺服器後,只需要到相應的網路設置中通過SYSLOG或LOG命令指定要保存日誌的伺服器地址即可,同時加上設置好的賬戶名和密碼即可完成傳輸配置工作。下面筆者就以Cisco6509設備上配置及指定日誌伺服器為例。 正常登錄到設備上然後在全局配置模式下輸入logging 192.168.1.10,它的意思是在路由器上指定日誌伺服器地址為192.168.1.10。接著輸入logging trap,它的意思是設置日誌伺服器接收內容,並啟動日誌記錄。trap後面可以接參數0到7,不同級別對應不同的情況,可以根據實際情況進行選擇。如果直接使用logging trap進行記錄的話是記錄全部日誌。配置完畢後路由交換設備可以發送日誌信息,這樣在第一時間就能發現問題並解決。日誌伺服器的IP地址,只要是能在路由交換設備上ping通日誌伺服器的IP即可,不一定要局限在同一網段內。因為FTP屬於TCP/IP協議,它是可以跨越網段的。(圖6) 總結:本文從攻擊者的角度解析對Web日誌的刪除和修改,目的是讓大家重視伺服器日誌的保護。另外,搭建專門的日誌伺服器不僅可以實現對日誌的備份,同時也更利用對日誌的集中管理。
❸ 計算機系統日誌的特點
日誌記錄著系統中特定事件的相關活動信息,從計算機取證角度看,日誌主要有以下特點:
不易讀懂
雖然大部分系統的日誌都以文本的形式記錄,但由於各系統日誌格式不一致,不熟悉各類日誌格式就很難獲取有用的信息。同時有相當部分應用系統並不採用文本格式記錄著日誌信息,必須藉助專用的工具分析這些日誌,否則很難讀懂其中的日誌信息。
數據量大
通常對外服務產生的日誌文件如Web服務日誌、防火牆、入侵檢測系統日誌和資料庫日誌以及各類伺服器日誌等都很大,一個日誌文件一天產生的容量少則幾十兆、幾百兆,多則有幾個G,幾十個G,這使得獲取和分析日誌信息變得很困難。
不易獲取
由於網路中不同的操作系統、應用軟體、網路設備和服務產生不同的日誌文件,即使相同的服務如IIS也可採用不同格式的日誌文件記錄日誌信息。國際上還沒有形成標準的日誌格式,各系統開發商和網路設備生產商往往根據各自的需要制定自己的日誌格式,使得不同系統的日誌格式和存儲方式有所差別。如何獲取各類不同系統產生的不同日誌文件作為打擊計算機犯罪者的電子證據變得尤為困難。
日誌聯系
一個系統的日誌是對本系統涉及的運行狀況的信息按時間順序作一簡單的記錄,僅反映本系統的某些特定事件的操作情況,並不完全反映某一用戶的整個活動情況。一個用戶在網路活動的過程中會在很多的系統日誌中留下痕跡,如防火牆IDS日誌、操作系統日誌等,這些不同的日誌之間存在某種必然的聯系來反映用戶的活動情況。只有將多個系統的日誌結合起來分析,才能准確反映用戶活動情況。
系統日誌
產生系統日誌的軟體通常為應用系統而不是作為操作系統的子系統運行,所產生的日誌記錄容易遭到惡意的破壞或修改。系統日誌通常存儲在系統未經保護的目錄中,並以文本方式存儲,未經加密和校驗處理,沒有提供防止惡意篡改的有效保護機制。因此,日誌文件並不一定是可靠的,入侵者可能會篡改日誌文件,從而不能被視為有效的證據。由於日誌是直接反映入侵者痕跡的,在計算機取證中扮演著重要的角色,入侵者獲取系統許可權竊取機密信息或破壞重要數據後往往會修改或刪除與其相關的日誌信息,甚至根據系統的漏洞偽造日誌以迷惑系統管理員和審計。
❹ WEB項目記錄用戶操作日誌
大概是,讀取到操作行的id,用這個id找到操作的數據,將需要記錄的欄位信息保存到表中。
❺ 有哪位前輩在javaweb開發中涉及到操作日誌這一功能模塊的 請簡單介紹下 實現的方法或技術啊 急用啊!
兩種辦法 一種是資料庫級別的,一種就是你系統的
我估計你想要的是系統級別的吧
一般常用的辦法aop(切面編程)攔截所有對資料庫的操作,當前前提是對所有對資料庫操作模式進行規范,然後利用反射獲取參數 ,解析 存入到你自己的日誌表
這只是思路 具體自己網路一下切面編程 記錄日誌,就好了,
當然 你還可以 基於 url 做日誌記錄(這個得通過 過濾器或者攔截器就可以實現)