⑴ 如何查看Web服务器日志
这些日志信息对计算机犯罪调查人员非常有用。
所谓日志是指系统所指定对象的某些操作和其操作结果按时间有序的集合。每个日志文件由日志记录组成.每条日志记录描述了一次单独的系统事件。通常情况下,系统日志
是用户可以直接阅读的文本文件,其中包含了一个时间戳和一个信息或者子系统所特有的其他信息。日志文件为服务器、工作站、防火墙和应用软件等IT资源相关活动记录必要的、有价值的信息,这对系统监控、查询、报表和安全审汁是十分重要的。日志文件中的记录可提供以下用途:监控系统资源,审汁用户行为,对可疑行为进行报警,确定入侵行为的范围,为恢复系统提供帮助,生成调查报告,为打击计算机犯罪提供证据来源。
在windows操作系统中有一位系统运行状况的忠实记录者,它可以详细记录计算机从开机、运行到关机过程中发生的每一个事件,它就是“事件查看器”。用户可以利用这个系统维护工具,收集有关硬件、软件、系统问题方面的信息,并监视系统安全事件,将系统和其他应用程序运行中的错误或警告事件记录下来,便于诊断和纠正系统发生的错误和问题。
可以双击“控制面板”中“管理工具”中的“事件查看器”,打开事件查看器窗口
⑵ 1Web日志数据分析模型的设计思想与实现
1Web日志数据分析模型的设计思想
本论文设计平台通过对web日志文件分析,统计出哪个页面最受欢迎,访问者来自哪里,访问时段分布情况等。分析结果生成HTML代码,最终通过浏览器以页面的形式将各种报表呈现在用户面前。其中要用到目前比较常用的ASP技术,由于要将海量的日志数据存入,所以还要用到SQL-Server这个功能强大的数据库。
1.1系统的体系结构
Web日志数据分析系统的主要用户是一般企业网站或个人网站管理员,目前常见的网络开发模式共有3种体系结构:两层Client/Server(C/S)体系结构;三层Client/Server/Database(C/S/D)体系结构;三层Browser/Server/Database(B/S/D)体系结构。综合考虑本系统的用户群特点及这三种体系结构特点,最终采用的体系结构是目前国际上流行的“Browser/WebServer/Database”即三层网络结构模型。这种体系结构简单实用,客户端只要采用标准浏览器与网络进行连接就可以了。
1.2系统功能模块设计
系统功能模块是系统与用户交互的接口,本系统包括:数据预处理模块、基本分析模块、智能分析模块和可视化模块,系统功能模块.数据预处理模块:该模块主要功能是首先去掉原先存放在关系数据库中的部分没有用的原始日志,然后设置日志文件格式、采样方法,依据包含替换规则对数据进行净化,再将该数据导入源数据库,形成页面映射表信息,最后形成用户表。基本分析模块:该模块主要是对网站的`访问情况进行以下6方面的统计汇总,即时段分析模块、地域分析模块、来源统计模块、客户端分析模块、受访页分析模块、搜索引擎模块。智能分析模块:该模块主要功能是利用关联规则对Web站点的页面之间的链接关系和站点结构进行分析,构建一个新的Web站点拓扑结构,寻有关联的客户群体,开展有针对性和个性化的电子商务活动。
2Web日志数据分析系统功能的实现
2.1数据收集
由于本系统是对Web日志的分析,所以数据收集部分的工作实际上就是对日志的收集工作,所以最重要得一点是网站的管理者允许对其日志文件进行研究,在同意对日志文件保密的前提下,笔者从电脑商网中国IT商务门户(www.cnitsw.com)获取了一段时间的网站日志文件以此作为分析对象。
2.2数据预处理
数据的预处理过程是将Web日志整理成适合数据挖掘的数据模型。整个挖掘预处理过程分为数据净化、用户识别、会话识别、路径补充、事务识别5个步骤。
2.3智能分析模块实现
我们利用了Apriori算法的思想,但同时对APriori算法进行了改造,采用了改进的APriori算法进行频繁路径挖掘。改进Apriori是受到APriori算法的启发,但它适合频繁路径的挖掘。
2.4基本分析模块实现
基本分析可以分为两个方面,一是网站整体的访问统计,另一方面是具体网页的访问分析。整体分析可以统计用户数、点击数,分析客户端信息等等;对具体网页可以统计其访问量,以分析其受欢迎程度,也可表示其重要程度。这些工作的数据来源是预处理中数据清理阶段产生的源数据库和整个预处理阶段后产生的用户事务数据库,实现方法也比较简单,一般都是简单的统计分析处理。基本分析模块由时段分析模块、地域分析模块、来源统计模块、客户端分析模块、受访页分析模块、搜索引擎分析模块6个模块组成。本文以时段分析模块为例进行阐述。根据日志中的日期域(data)、时间域(time)以及所花时间域(time-taken)可以统计出每天哪个时段的访问人数和具体逗留时间,每个小时访问量的变化,通过一天中每小时的访问数可以得出站点哪个时间段的访问人数最多是访问高峰期,进而分析出访问人群的职业和上网习惯等相关信息。
Web日志数据分析是internet信息处理的一个重要应用,目前我们只是实现了一些简单的功能,还可以对WEB日志的分析处理上进行某些更详细的深入分析,譬如可以根据访问者的登录时间、访问页面、停留时间等信息进行统计分析,然后制定个性化的电子商务营销策略,帮助电子商务网站在最短的时间内抓住最有效的客户。还可根据以往时间段的访问人数统计,对网站未来几天或者某个时间段的访问流量进行预测。
作者:吴敏纲 黄杰恒 郑义平 单位:景德镇陶瓷学院信息工程学院 景德镇市第六人民医院 景德镇市国税局直属分局
⑶ 应用web服务器系统的4.3 系统运行日志
海蜘蛛EWP系统记录了Web管理登录日志、系统运行日志、系统初始化日志和当前内核日志。并且能方便进行查询或将日志转发到另一服务器中。
⑷ Web 服务器的系统事件日志在那
请检查IIS的应用程序池是否已启动。
⑸ 如何保护Web服务器中日志安全
Web日志记录了web服务器接收处理请求,以及其运行时的错误等各种原始信息。通过对日志进行统计、分析、综合,就能有效地掌握服务器的运行状况,发现和排除错误、了解客户访问分布等,方便管理员更好地加强服务器的维护和管理。另外,Web日志也是判断服务器安全的一个重要依据,通过其可以分析判断服务器是否被入侵,并通过其可以对攻击者进行反向跟踪等。因此,对于Web日志攻击者往往以除之而后快。
一、攻击者清除日志的常用伎俩 1、Web服务器系统中的日志 以WindowsServer 2003平台的Web服务器为例,其日志包括:安全日志、系统日志、应用程序日志、WWW日志、FTP日志等。对于前面的三类日志可以通过“开始→运行”输入eventvwr.msc打开事件查看器进行查看,WWW日志和FTP日志以log文件的形式存放在硬盘中。具体来说这些日志对应的目录和文件为: (1).安全日志文件:C:WINDOWSsystem32configSecEvent.Evt (2).系统日志文件:C:WINDOWSsystem32configSysEvent.Evt (3).应用程序日志文件:C:WINDOWSsystem32configAppEvent.Evt (4).FTP日志默认位置:C: (5).WWW日志默认位置:C:、非法清除日志 上述这些日志在服务器正常运行的时候是不能被删除的,FTP和WWW日志的删除可以先把这2个服务停止掉,然后再删除日志文件,攻击者一般不会这么做的。系统和应用程序的日志是由守护服务Event Log支持的,而它是没有办法停止的,因而是不能直接删除日志文件的。攻击者在拿下Web服务器后,一般会采用工具进行日志的清除,其使用的工具主要是CL和CleanIISLog。 (1).利用CL彻底清除日志 这个工具可以彻底清除IIS日志、FTP日志、计划任务日志、系统日志、安全日志等,使用的操作非常简单。 在命令下输入“cl -logfiles 127.0.0.1”就可以清除Web服务器与Web和FTP和计划任务相关的日志。其原理就是先把FTP、WWW、Task Scheler服务停止再删除日志,然后再启动三个服务。(图2)celialin 该工具还可以选择性地清除相应的日志,比如输入“cl -eventlog All”就会清除Web服务器中与系统相关的日志。另外,此工具支持远程清理,这是攻击者经常采用的方法。首先他们通过命令“netuse ipipc$ 密码/user:用户名”在本地和服务器建立了管理员权限的IPC管理连接,然后用“CL -LogFile IP”命令远程清理服务日志。(图3)
(2).利用CleanIISLog选择性地清理IIS日志 比如攻击者通过Web注入方式拿下服务器,这样他的入侵痕迹(IP地址)都留在了IIS日志里。他们利用该工具只把其在IIS日志中的IP地址进行清除,这样就不会让对方管理员起疑心。 在命令中执行“CleanIISLog . IP”就可以清除IIS日志中有关该IP的连接记录同时保留其它IP记录。如果管理做了防范,比如更改了IIS日志的路径,攻击者在确定了日志的路径后,也可以通过该工具进行清除,其操作是,在命令行下执行“CleanIISLog IIS日志路径 IP地址”来清除指定IIS路径的IP记录。(图4)二、打造日志服务器保护日志 通过上面的演示可以看到,如果将服务器的日志保存在本地是非常不安全的。而且,如果企业中的服务器非常多的话,查看日志会非常麻烦。基于以上考虑,打造专门的日志服务器,即有利于服务器日志的备份又有利用于集中管理。 笔者的做法是,搭建一个FTP服务器用来日志的集中和备份,可以在服务器中通过专门的工具或者计划任务来实现日志的自动上传备份。这部分内容比较简单,笔者就不演示了。其实不仅可以将服务器日志备份到专门的日志服务器上,日志服务器还可以实现网络设备的日志备份。 以路由器为例,首先在其上进行设置,指定记录日志的服务器,最后通过FTP协议将日志数据传输到FTP服务器上。搭建FTP服务器可以利用IIS的FTP或者Serv-u,但是笔者觉得IIS的FTP在权限分配上不够方便,而Serv-u有漏洞太多,因此推荐TYPSoft FTP。 1、架设日志服务器 TYPSoft FTP是绿色软件,下载解压后双击ftpserv.exe文件,启动typsoft fip主程序。启动后,点击主界面菜单中的“设定→用户”,建立新账户log。接着在用户界面中设置log账号所对应的用户密码和日志保存的目录,最后点击“保存”按钮使设置生效,这样日志服务器就架好了。(图5)2、日志服务器的指定 当搭建好日志服务器后,只需要到相应的网络设置中通过SYSLOG或LOG命令指定要保存日志的服务器地址即可,同时加上设置好的账户名和密码即可完成传输配置工作。下面笔者就以Cisco6509设备上配置及指定日志服务器为例。 正常登录到设备上然后在全局配置模式下输入logging 192.168.1.10,它的意思是在路由器上指定日志服务器地址为192.168.1.10。接着输入logging trap,它的意思是设置日志服务器接收内容,并启动日志记录。trap后面可以接参数0到7,不同级别对应不同的情况,可以根据实际情况进行选择。如果直接使用logging trap进行记录的话是记录全部日志。配置完毕后路由交换设备可以发送日志信息,这样在第一时间就能发现问题并解决。日志服务器的IP地址,只要是能在路由交换设备上ping通日志服务器的IP即可,不一定要局限在同一网段内。因为FTP属于TCP/IP协议,它是可以跨越网段的。(图6) 总结:本文从攻击者的角度解析对Web日志的删除和修改,目的是让大家重视服务器日志的保护。另外,搭建专门的日志服务器不仅可以实现对日志的备份,同时也更利用对日志的集中管理。
⑹ web服务器被攻击,从哪些日志,或者现象可以看出来
如果服务器(网站)被入侵了,一般都是服务器或者网站存在漏洞,被黑客利用并提权入侵的,导致服务器中木马,网站被挂黑链,被篡改,被挂马。解决办法:如果程序不是很大,可以自己比对以前程序的备份文件,然后就是修复,或者换个服务器,最好是独立服务器。也可以通过安全公司来解决,国内也就Sinesafe和绿盟等安全公司 比较专业.