Windows应急响应和系统加固(8)—— Windows IIS日志提取和安全检查分析
windows iis日志提取和安全检查分析
一、iis日志介绍:
1.iis简介:
iis全称internet information services,是由微软公司提供的基于运行microsoft windwos的互联网基本服务,iis是一种web(网页)服务组件,其中包括web服务器、ftp服务器、nntp服务器和smtp服务器,分别用于网页浏览、文
件传输、新闻服务和邮件发送等方面,它使得在网络(包括互联网和局域网)上发布信息成了一件很容易的事。
iis可设置的内容包括:虚拟目录及访问权限、默认文件名称、目录浏览。
2.iis日志的路径:
server 2003,路径为:c:\windows\system32\logfiles;
server 2008/r2,路径为:c:\inetpub\logs\logfiles。
win10系统默认的iis服务是关闭的,如果需要开启服务,参考:
3.w3c扩展日志文件格式:
转自博客:
下面是一段常见的iis生产的w3c扩展web日志:
2011-09-01 16:02:22 get /enterprise/detail.asp 70.25.29.53 http:/ /www .example.com/searchout.asp 202 17735 369 4656
date time s-ip cs-method cs-uri-stem cs-uri-query s-port(#7) cs-username c-ip cs(user-agent) cs(cookie) cs(referer) cs-host sc-status sc-substatus sc-win32-status time-taken
这个日志可以解读为:ip是70.25.29.53,来自"http://www.example.com/searchout.asp"的访客,在2011-09-01 16:02:22,访问(get)了主机的/enterprise/detail.asp,访问成功,得到17735字节数据。
目前常见的web日志格式主要由两类,一类是apache的ncsa日志格式,另一类是iis的w3c日志格式。ncsa格式又分为ncsa普通日志格式 (clf)和ncsa扩展日志格式(eclf)两类,目前最常用的是ncsa扩展日志格式(eclf)及
基于自定义类型的apache日志格式;而w3c 扩展日志格式(exlf)具备了更为丰富的输出信息,主要是微软iis(internet information services)中应用。
日期:date 动作发生时的日期。
时间:time 动作发生时的时间(默认为utc标准)。
客户端ip地址:c-ip 访问服务器的客户端ip地址。
用户名:cs-username 通过身份验证的访问服务器的用户名。不包括匿名用户(用‘-’表示)。
服务名:s-sitename 客户所访问的internet服务名以及实例号。
服务器名:s-computername 产生日志条目的服务器的名字。
服务器ip 地址:s-ip 产生日志条目的服务器的ip地址。
服务器端口:s-port 服务端提供服务的传输层端口。
方法:cs-method 客户端执行的行为(主要是get与post行为)。
uri stem:cs-uri-stem 被访问的资源,如default.asp等。
uri query:cs-uri-query 客户端提交的参数(包括get与post行为)。
协议状态:sc-status 用http或者ftp术语所描述的、行为执行后的返回状态。
win32状态:sc-win32-status 用microsoft windows的术语所描述的动作状态。
发送字节数:sc-bytes 服务端发送给客户端的字节数。
接受字节数:cs-bytes 服务端从客户端接收到的字节数。
花费时间:time-taken 执行此次行为所消耗的时间,以毫秒为单位。
协议版本:cs-version 客户端所用的协议(http、ftp)版本。对http协议来说是http 1.0或者http 1.1。
主机:cs-host 客户端的http报头(host header)信息。
用户代理:cs(user-agent) 客户端所用的浏览器版本信息。
cookie:cs(cookie) 发送或者接受到的cookie内容。
referrer:cs(referer) 用户浏览的前一个网址,当前网址是从该网址链接过来的。
协议底层状态:sc-substatus 协议底层状态的一些错误信息。
二、使用splunk大数据引擎分析iis日志(win10虚拟机为例):
1.步骤:
打开虚拟机dos指令输入“net start splunkd”打开splunk服务,稍等几秒(打开默认端口为8080)——输入用户名密码即可登录splinkd界面,如图(登录界面):
2.搜索、处理iis日志数据的命令:
source="oa_pc_iis_logs.log" host="oa_pc_iis_logs" index="main" sourcetype="iis"
3.统计所搜索的数据(可提供可视化的百分比显示)
source="oa_pc_iis_logs.log" host="oa_pc_iis_logs" index="main" sourcetype="iis" | stats count by sc_status | sort - count
4.夸张脚本攻击/尝试指令:
source="security_edu_u_ex2014_1.log" host="security_edu_u_ex2014_1" index="main" sourcetype="iis" "alert" sc_status=200
5.访问网页的异常情况:
source="security_edu_u_ex2014_1.log" host="security_edu_u_ex2014_1" index="main" sourcetype="iis" sc_status=200 cs_method=get orcs_method=post cs_uri_stem=*.aspx| stats count by cs_uri_stem | sort by count
推荐阅读
-
Windows应急响应和系统加固(8)—— Windows IIS日志提取和安全检查分析
-
Windows应急响应和系统加固(12)——SQL Server/MySQL/Oracle日志提取和安全分析
-
Windows应急响应和系统加固(11)——Weblogic各类漏洞的日志分析和调查取证
-
Windows应急响应和系统加固(9)——Windows Apache日志提取和安全分析
-
Windows应急响应和系统加固(9)——Windows Apache日志提取和安全分析
-
Windows应急响应和系统加固(11)——Weblogic各类漏洞的日志分析和调查取证
-
Windows应急响应和系统加固(8)—— Windows IIS日志提取和安全检查分析
-
Windows应急响应和系统加固(12)——SQL Server/MySQL/Oracle日志提取和安全分析