欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  科技

Windows应急响应和系统加固(8)—— Windows IIS日志提取和安全检查分析

程序员文章站 2022-03-10 18:25:56
Windows IIS日志提取和安全检查分析 一、IIS日志介绍: 1.IIS简介: IIS全称Internet Information Services,是由微软公司提供的基于运行Microsoft Windwos的互联网基本服务,IIS是一种Web(网页)服务组件,其中包括Web服务器、FTP服 ......

windows iis日志提取和安全检查分析

一、iis日志介绍:

  1.iis简介:

    iis全称internet information services,是由微软公司提供的基于运行microsoft windwos的互联网基本服务,iis是一种web(网页)服务组件,其中包括web服务器、ftp服务器、nntp服务器和smtp服务器,分别用于网页浏览、文

件传输、新闻服务和邮件发送等方面,它使得在网络(包括互联网和局域网)上发布信息成了一件很容易的事。

    iis可设置的内容包括:虚拟目录及访问权限、默认文件名称、目录浏览。

  2.iis日志的路径:

    server 2003,路径为:c:\windows\system32\logfiles;

    server 2008/r2,路径为:c:\inetpub\logs\logfiles。

    win10系统默认的iis服务是关闭的,如果需要开启服务,参考:

  3.w3c扩展日志文件格式:

    转自博客:

    下面是一段常见的iis生产的w3c扩展web日志:

      2011-09-01 16:02:22 get /enterprise/detail.asp 70.25.29.53 http:/ /www .example.com/searchout.asp 202 17735 369 4656

      date time s-ip cs-method cs-uri-stem cs-uri-query s-port(#7) cs-username c-ip cs(user-agent) cs(cookie) cs(referer) cs-host sc-status sc-substatus sc-win32-status time-taken

    这个日志可以解读为:ip是70.25.29.53,来自"http://www.example.com/searchout.asp"的访客,在2011-09-01 16:02:22,访问(get)了主机的/enterprise/detail.asp,访问成功,得到17735字节数据。

    目前常见的web日志格式主要由两类,一类是apache的ncsa日志格式,另一类是iis的w3c日志格式。ncsa格式又分为ncsa普通日志格式 (clf)和ncsa扩展日志格式(eclf)两类,目前最常用的是ncsa扩展日志格式(eclf)及

    基于自定义类型的apache日志格式;而w3c 扩展日志格式(exlf)具备了更为丰富的输出信息,主要是微软iis(internet information services)中应用。

    日期:date 动作发生时的日期。

    时间:time 动作发生时的时间(默认为utc标准)。

    客户端ip地址:c-ip 访问服务器的客户端ip地址。

    用户名:cs-username 通过身份验证的访问服务器的用户名。不包括匿名用户(用‘-’表示)。

    服务名:s-sitename 客户所访问的internet服务名以及实例号。

    服务器名:s-computername 产生日志条目的服务器的名字。

    服务器ip 地址:s-ip 产生日志条目的服务器的ip地址。

    服务器端口:s-port 服务端提供服务的传输层端口。

    方法:cs-method 客户端执行的行为(主要是get与post行为)。

    uri stem:cs-uri-stem 被访问的资源,如default.asp等。

    uri query:cs-uri-query 客户端提交的参数(包括get与post行为)。

    协议状态:sc-status 用http或者ftp术语所描述的、行为执行后的返回状态。

    win32状态:sc-win32-status 用microsoft windows的术语所描述的动作状态。

    发送字节数:sc-bytes 服务端发送给客户端的字节数。

    接受字节数:cs-bytes 服务端从客户端接收到的字节数。

    花费时间:time-taken 执行此次行为所消耗的时间,以毫秒为单位。

    协议版本:cs-version 客户端所用的协议(http、ftp)版本。对http协议来说是http 1.0或者http 1.1。

    主机:cs-host 客户端的http报头(host header)信息。

    用户代理:cs(user-agent) 客户端所用的浏览器版本信息。

    cookie:cs(cookie) 发送或者接受到的cookie内容。

    referrer:cs(referer) 用户浏览的前一个网址,当前网址是从该网址链接过来的。

    协议底层状态:sc-substatus 协议底层状态的一些错误信息。

二、使用splunk大数据引擎分析iis日志(win10虚拟机为例):

  1.步骤:

    打开虚拟机dos指令输入“net start splunkd”打开splunk服务,稍等几秒(打开默认端口为8080)——输入用户名密码即可登录splinkd界面,如图(登录界面):

  Windows应急响应和系统加固(8)—— Windows IIS日志提取和安全检查分析

 

 

 

  2.搜索、处理iis日志数据的命令:

    source="oa_pc_iis_logs.log" host="oa_pc_iis_logs" index="main" sourcetype="iis"

  3.统计所搜索的数据(可提供可视化的百分比显示)

    source="oa_pc_iis_logs.log" host="oa_pc_iis_logs" index="main" sourcetype="iis" | stats count by sc_status | sort - count

  4.夸张脚本攻击/尝试指令:

    source="security_edu_u_ex2014_1.log" host="security_edu_u_ex2014_1" index="main" sourcetype="iis" "alert" sc_status=200

  5.访问网页的异常情况:

    source="security_edu_u_ex2014_1.log" host="security_edu_u_ex2014_1" index="main" sourcetype="iis" sc_status=200 cs_method=get orcs_method=post cs_uri_stem=*.aspx| stats count by cs_uri_stem | sort by count