❶ 服务器日志分析工具,怎样查看服务器日志监控
工具/原料
网站服务器、运行中网站
网站日志分析工具、FTP工具
网站日志查看流程
登录虚拟主机的管理系统(本经验以万网为例),输入主机的账号以及密码,登陆。操作如下所示:
登录系统后台,找到"网站文件管理"中的"weblog日志下载",并点击。操作
点击"weblog日志下载",可以看到很多以"ex"+时间命名的压缩文件可以下载。选择所需要下载的网站日唤咐志,点击下载。操作如下所示:
登录FTP工具,在根目录下找到"wwwlogs"文件,下载所需的压缩文件。注意:不同程序,日志存放目录不一样。操作
网上有很多日志分析软件,本经验以"光年seo日志分析系统"这款软件为例晌此子,点击"新建分析任务"。操作
在"任务导向"中,按照实际要求改任务名以及日志类别。宴链迅一般情况下可以不用修改。点击系下一步,操作
接着上一步,在"任务导向"中添加所需要分析的网站日志(也就是本经验第三步下载的文件),添加文件可以是一个或者多个。点击系下一步,操作
接着上一步,在"任务导向"中选择报告保存目录。点击系下一步,操作
完成之后,软件会生成一件文件夹,包含一个"报告"网页以及"files"文件,点击"报告"网页就可以查看网站日志数据了。
❷ 如何保护Web服务器中日志安全
Web日志记录了web服务器接收处理请求,以及其运行时的错误等各种原始信息。通过对日志进行统计、分析、综合,就能有效地掌握服务器的运行状况,发现和排除错误、了解客户访问分布等,方便管理员更好地加强服务器的维护和管理。另外,Web日志也是判断服务器安全的一个重要依据,通过其可以分析判断服务器是否被入侵,并通过其可以对攻击者进行反向跟踪等。因此,对于Web日志攻击者往往以除之而后快。
一、攻击者清除日志的常用伎俩 1、Web服务器系统中的日志 以WindowsServer 2003平台的Web服务器为例,其日志包括:安全日志、系统日志、应用程序日志、WWW日志、FTP日志等。对于前面的三类日志可以通过“开始→运行”输入eventvwr.msc打开事件查看器进行查看,WWW日志和FTP日志以log文件的形式存放在硬盘中。具体来说这些日志对应的目录和文件为: (1).安全日志文件:C:WINDOWSsystem32configSecEvent.Evt (2).系统日志文件:C:WINDOWSsystem32configSysEvent.Evt (3).应用程序日志文件:C:WINDOWSsystem32configAppEvent.Evt (4).FTP日志默认位置:C: (5).WWW日志默认位置:C:、非法清除日志 上述这些日志在服务器正常运行的时候是不能被删除的,FTP和WWW日志的删除可以先把这2个服务停止掉,然后再删除日志文件,攻击者一般不会这么做的。系统和应用程序的日志是由守护服务Event Log支持的,而它是没有办法停止的,因而是不能直接删除日志文件的。攻击者在拿下Web服务器后,一般会采用工具进行日志的清除,其使用的工具主要是CL和CleanIISLog。 (1).利用CL彻底清除日志 这个工具可以彻底清除IIS日志、FTP日志、计划任务日志、系统日志、安全日志等,使用的操作非常简单。 在命令下输入“cl -logfiles 127.0.0.1”就可以清除Web服务器与Web和FTP和计划任务相关的日志。其原理就是先把FTP、WWW、Task Scheler服务停止再删除日志,然后再启动三个服务。(图2)celialin 该工具还可以选择性地清除相应的日志,比如输入“cl -eventlog All”就会清除Web服务器中与系统相关的日志。另外,此工具支持远程清理,这是攻击者经常采用的方法。首先他们通过命令“netuse ipipc$ 密码/user:用户名”在本地和服务器建立了管理员权限的IPC管理连接,然后用“CL -LogFile IP”命令远程清理服务日志。(图3)
(2).利用CleanIISLog选择性地清理IIS日志 比如攻击者通过Web注入方式拿下服务器,这样他的入侵痕迹(IP地址)都留在了IIS日志里。他们利用该工具只把其在IIS日志中的IP地址进行清除,这样就不会让对方管理员起疑心。 在命令中执行“CleanIISLog . IP”就可以清除IIS日志中有关该IP的连接记录同时保留其它IP记录。如果管理做了防范,比如更改了IIS日志的路径,攻击者在确定了日志的路径后,也可以通过该工具进行清除,其操作是,在命令行下执行“CleanIISLog IIS日志路径 IP地址”来清除指定IIS路径的IP记录。(图4)二、打造日志服务器保护日志 通过上面的演示可以看到,如果将服务器的日志保存在本地是非常不安全的。而且,如果企业中的服务器非常多的话,查看日志会非常麻烦。基于以上考虑,打造专门的日志服务器,即有利于服务器日志的备份又有利用于集中管理。 笔者的做法是,搭建一个FTP服务器用来日志的集中和备份,可以在服务器中通过专门的工具或者计划任务来实现日志的自动上传备份。这部分内容比较简单,笔者就不演示了。其实不仅可以将服务器日志备份到专门的日志服务器上,日志服务器还可以实现网络设备的日志备份。 以路由器为例,首先在其上进行设置,指定记录日志的服务器,最后通过FTP协议将日志数据传输到FTP服务器上。搭建FTP服务器可以利用IIS的FTP或者Serv-u,但是笔者觉得IIS的FTP在权限分配上不够方便,而Serv-u有漏洞太多,因此推荐TYPSoft FTP。 1、架设日志服务器 TYPSoft FTP是绿色软件,下载解压后双击ftpserv.exe文件,启动typsoft fip主程序。启动后,点击主界面菜单中的“设定→用户”,建立新账户log。接着在用户界面中设置log账号所对应的用户密码和日志保存的目录,最后点击“保存”按钮使设置生效,这样日志服务器就架好了。(图5)2、日志服务器的指定 当搭建好日志服务器后,只需要到相应的网络设置中通过SYSLOG或LOG命令指定要保存日志的服务器地址即可,同时加上设置好的账户名和密码即可完成传输配置工作。下面笔者就以Cisco6509设备上配置及指定日志服务器为例。 正常登录到设备上然后在全局配置模式下输入logging 192.168.1.10,它的意思是在路由器上指定日志服务器地址为192.168.1.10。接着输入logging trap,它的意思是设置日志服务器接收内容,并启动日志记录。trap后面可以接参数0到7,不同级别对应不同的情况,可以根据实际情况进行选择。如果直接使用logging trap进行记录的话是记录全部日志。配置完毕后路由交换设备可以发送日志信息,这样在第一时间就能发现问题并解决。日志服务器的IP地址,只要是能在路由交换设备上ping通日志服务器的IP即可,不一定要局限在同一网段内。因为FTP属于TCP/IP协议,它是可以跨越网段的。(图6) 总结:本文从攻击者的角度解析对Web日志的删除和修改,目的是让大家重视服务器日志的保护。另外,搭建专门的日志服务器不仅可以实现对日志的备份,同时也更利用对日志的集中管理。
❸ 计算机系统日志的特点
日志记录着系统中特定事件的相关活动信息,从计算机取证角度看,日志主要有以下特点:
不易读懂
虽然大部分系统的日志都以文本的形式记录,但由于各系统日志格式不一致,不熟悉各类日志格式就很难获取有用的信息。同时有相当部分应用系统并不采用文本格式记录着日志信息,必须借助专用的工具分析这些日志,否则很难读懂其中的日志信息。
数据量大
通常对外服务产生的日志文件如Web服务日志、防火墙、入侵检测系统日志和数据库日志以及各类服务器日志等都很大,一个日志文件一天产生的容量少则几十兆、几百兆,多则有几个G,几十个G,这使得获取和分析日志信息变得很困难。
不易获取
由于网络中不同的操作系统、应用软件、网络设备和服务产生不同的日志文件,即使相同的服务如IIS也可采用不同格式的日志文件记录日志信息。国际上还没有形成标准的日志格式,各系统开发商和网络设备生产商往往根据各自的需要制定自己的日志格式,使得不同系统的日志格式和存储方式有所差别。如何获取各类不同系统产生的不同日志文件作为打击计算机犯罪者的电子证据变得尤为困难。
日志联系
一个系统的日志是对本系统涉及的运行状况的信息按时间顺序作一简单的记录,仅反映本系统的某些特定事件的操作情况,并不完全反映某一用户的整个活动情况。一个用户在网络活动的过程中会在很多的系统日志中留下痕迹,如防火墙IDS日志、操作系统日志等,这些不同的日志之间存在某种必然的联系来反映用户的活动情况。只有将多个系统的日志结合起来分析,才能准确反映用户活动情况。
系统日志
产生系统日志的软件通常为应用系统而不是作为操作系统的子系统运行,所产生的日志记录容易遭到恶意的破坏或修改。系统日志通常存储在系统未经保护的目录中,并以文本方式存储,未经加密和校验处理,没有提供防止恶意篡改的有效保护机制。因此,日志文件并不一定是可靠的,入侵者可能会篡改日志文件,从而不能被视为有效的证据。由于日志是直接反映入侵者痕迹的,在计算机取证中扮演着重要的角色,入侵者获取系统权限窃取机密信息或破坏重要数据后往往会修改或删除与其相关的日志信息,甚至根据系统的漏洞伪造日志以迷惑系统管理员和审计。
❹ WEB项目记录用户操作日志
大概是,读取到操作行的id,用这个id找到操作的数据,将需要记录的字段信息保存到表中。
❺ 有哪位前辈在javaweb开发中涉及到操作日志这一功能模块的 请简单介绍下 实现的方法或技术啊 急用啊!
两种办法 一种是数据库级别的,一种就是你系统的
我估计你想要的是系统级别的吧
一般常用的办法aop(切面编程)拦截所有对数据库的操作,当前前提是对所有对数据库操作模式进行规范,然后利用反射获取参数 ,解析 存入到你自己的日志表
这只是思路 具体自己网络一下切面编程 记录日志,就好了,
当然 你还可以 基于 url 做日志记录(这个得通过 过滤器或者拦截器就可以实现)