Windows应急响应和系统加固(9)——Windows Apache日志提取和安全分析

windows apache日志提取和安全分析

一、apache日志介绍：

　　1.apache的访问日志功能由mod_log_config功能模块提供，日志格式为(clf)common log format。

　　2.apache日志的八个级别：emerg、alert、crit、error、warn、notice、info和debug。

　　　　emerg：出现紧急情况使得系统不可用(例如系统宕机)；

　　　　alert：需要立即引起注意的情况；

　　　　crit：危险情况的警告；

　　　　error：除了以上三种错误以外其他错误；

　　　　warn：警告信息，默认级别；

　　　　notice：需要引起注意的情况；

　　　　info：值得报告的一般消息；

　　　　debug：由运行于debug模式的程序所产生的消息，信息量最大。

　　　　注：级别越高，日志记录的信息量就越大；写日志会给系统带来很大损耗，关闭日志功能后，甚至最高可以提高整体性能近40%，但是关闭日志，系统会很不稳定，因此降低log级别的办法来减少日志读写。

　　3.apache日志格式：

　　　　打开apache的配置文件，搜索"logformat"即可查看访问的日志格式。图为配置文件：

　　　　日志各字符含义介绍:

　　　　　　　　日志样例：

　　　　　　　　　　192.168.1.6 - - [12/dec/2018:03:31:50 -0800] "get /1.jsp http/1.1" 200 1045 "-" "mozilla/5.0 (windows nt 10.0; win64;x64; rv:52.0) gecko/20100101 firefox/52.0"

　　　　　　　　字段1（$1）：远程主机ip地址；

　　　　　　　　字段2（$2）：占位符；

　　　　　　　　字段3（$3）：占位符；

　　　　　　　　字段4（$4）：服务器完成请求处理所在的时间，例如： [01/nov/2018:04:22:07]；

　　　　　　　　字段5（$5）：+800，时区；

　　　　　　　　字段6（$6）：请求方法；

　　　　　　　　字段7（$7）：资源url；

　　　　　　　　字段8（$8）：http/1.1，协议；

　　　　　　　　字段9（$9）：返回状态，例如200/404/302等；

　　　　　　　　字段10（$10）： bytes，发送给客户端的总字节数。

二、日志分析工具：

　　1.使用awk等默认的linux命令行工具，可以分析所需要的的apache日志；

　　2.splunk工具(使用方式见上一篇博客，传送门：)。