赛迪网_IT门户_技术天地_tech_ccidnetIIS的日志分析 -

↓全部展开↑

今日更新

技术新闻

精彩专题

IBM软件技术专区

微软开发专区

技术文档中心

编程语言

网络通信

网络安全

LINUX/UNIX

软件工程与管理

数据库开发

WEB开发

企业应用与开发

移动开发

资源中心

原创专栏

开放系统世界

人才与培训

技术天地论坛

厂商列表

社区推荐

·	女性身体内部人体受孕..
·	十部顶级的变态与情色..
·	感情放纵让我毁了两个..
·	当我撞见姐姐和男友在..
·	卖淫少女惨遭泄愤民工..
·	偷拍街上的走光mm绝对..
·	百度打击google的广告
·	港娱乐圈与黑社会揭秘

赛迪网>>技术应用>>技术天地

关键字：	IIS
来源：	飞思科技产品研发中心

IIS的日志分析

作者：刘志勇郭聪辉发文时间：2004.11.22

返回专题首页：IIS 安装设置指南

　　日志的重要性已经在Linux篇叙述过，故此处不再赘述。建议使用W3C扩充日志文件格式，这也是IIS 5.0默认的格式，可以指定每天记录客户IP地址、用户名、服务器端口、方法、URI资源、URI查询、协议状态、用户代理，每天要审查日志。如图1所示。

图1 IIS的扩充日志记录属性

　　IIS 5.0的WWW日志文件默认位置为%systemroot%\system32\logfiles\w3svc1\，对于绝大多数系统而言（如果安装系统时定义了系统存放目录则根据实际情况修改）则是C:\winnt\system32\logfiles\w3svcl\，默认每天一个日志。建议不要使用默认的目录，更换一个记录日志的路径，同时设置日志访问权限，只允许管理员和SYSTEM为完全控制的权限，如图2所示。

图2 设置IIS扩充日志记录属性

　　日志文件的名称格式是：ex+年份的末两位数字+月份+日期，如2002年8月10日的WWW日志文件是ex020810.log。IIS的日志文件都是文本文件，可以使用任何编辑器打开，例如记事本程序。下面列举说明日志文件的部分内容。每个日志文件都有如下的头4行：

#Software: Microsoft Internet Information Services 5.0
#Version: 1.0
#Date: 2002-08-12 01:27:21
#Fields: date time c-ip cs-username s-ip s-port cs-method cs-uri-stem 
  cs-uri-query sc-status cs(User-Agent)

第3行记录了IIS启动的时间，第4行说明了每条记录的格式说明。

2002-07-18 09:53:52 10.152.8.17 - 10.152.8.2 80 
GET /index.htm - 200 Mozilla/4.76+[en]+(X11;+U;+Linux+2.4.2-2+i686)
2002-07-18 09:53:58 10.152.8.13 - 10.152.8.2 80 
GET /MyHomepage/Nethief_Notify.htm - 404 INTERNET
2002-08-10 05:13:11 61.159.35.180 - 61.181.60.164 80 
GET /bbs/ - 302 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)
2002-06-28 08:17:33 127.0.0.1 - 127.0.0.1 2285 
GET / - 401 Mozilla/4.0+(compatible;+MSIE+6.0b;+Windows+NT+5.0)
2002-07-16 01:10:51 10.152.8.17 - 10.152.8.2 80 
GET /seek/images/ip.gif - 200 Mozilla/5.0+(X11;+U;+Linux+2.4.2-2+i686;+en-US;+0.7)
+Gecko/20010316

　　上面各行分别清楚地记下了远程客户端的IP地址、连接时间、端口、请求动作、返回结果（用数字表示，如页面不存在则以404返回）、所使用的浏览器类型等信息。

　　IIS的FTP日志文件默认位置为%systemroot%\system32\logfiles\MSFTPSVC1\，对于绝大多数系统而言（如果安装系统时定义了系统存放目录则根据实际情况修改）则是C:\winnt\system32\logfiles\ MSFTPSVC1\，和IIS的WWW日志一样，也是默认每天一个日志。日志文件的名称格式是：ex+年份的末两位数字+月份+日期，如2002年8月10日的WWW日志文件是ex020810.log。它也是文本文件，同样可以使用任何编辑器打开，例如记事本程序。和IIS的WWW日志相比，IIS的FTP日志文件要丰富得多。下面列举日志文件的部分内容。

#Software: Microsoft Internet Information Services 5.0
#Version: 1.0
#Date: 2002-07-24 01:32:07
#Fields: time cip csmethod csuristem scstatus
03:15:20 210.12.195.3 [1]USER administator 331　
（IP地址为210.12.195.2用户名为administator的用户试图登录）
03:16:12 210.12.195.2 [1]PASS - 530　（登录失败）
03:17:04 210.12.195.2 [1]USER bright 331　
（IP地址为210.12.195.2用户名为bright的用户试图登录）
03:17:06 210.12.195.2 [1]PASS - 530　（登录失败）
03:17:29 210.12.195.2 [1]USER  lzy 331　
（IP地址为210.12.195.2用户名为lzy的用户试图登录）
03:17:30 210.12.195.2 [1]PASS - 530　（登录失败）
03:19:16 210.12.195.2 [1]USER administrator 331　
（IP地址为210.12.195.2用户名为administrator的用户试图登录）
03:19:24 210.12.195.2 [1]PASS - 230　（登录成功）
03:19:49 210.12.195.2 [1]MKD brght 550　（新建目录失败）
03:25:26 210.12.195.2 [1]QUIT - 550　（退出FTP程序）

　　有经验的用户可以通过这段FTP日志文件的内容看出，来自IP地址210.12.195.2的远程客户从2002年7月24日3：15开始试图登录此服务器，先后换了4次用户名和口令才成功，最终以administrator的账户成功登录。这时候就应该提高警惕，因为administrator账户极有可能泄密了，为了安全考虑，应该给此账户更换密码或者重新命名此账户。

　　如何辨别服务器是否有人曾经利用过UNICODE漏洞入侵过呢？可以在日志里看到类似如下的记录：

13:46:07 127.0.0.1 GET /scripts/..＼../winnt/system32/cmd".exe 401 
13:46:07 127.0.0.1 GET /scripts/..＼../winnt/system32/cmd".exe 200 
如果有人曾经执行过copy、del、echo、.bat等具有入侵行为的命令时，会有以下类似的记录：
13:47:37 127.0.0.1 GET /scripts/..＼../winnt/system32/cmd".exe 401 
13:47:37 127.0.0.1 GET /scripts/..＼../winnt/system32/cmd".exe 502

　　如果入侵者技术比较高明，会删除IIS日志文件以抹去痕迹，这时可以到事件查看器看来自W3SVC的警告信息，往往能找到一些线索。当然，对于访问量特别大的Web服务器，仅靠人工分析几乎是不可能的--数据太多了！可以借助第三方日志分析工具，如Faststs Analyzer、Logs2Intrusions v.1.0等。此处仅仅介绍一下Logs2Intrusions日志分析工具。它是一个由Turkish Security Network公司开发的自由软件，是免费的日志分析工具，可以分析IIS 4/5、Apache和其他日志文件。可以到http://www.trsecurity.net/logs2intrusions下载最新的版本。该软件简单易用，下面是它的主界面，如图3所示。

图3 Logs2Intrusions的主界面

　　　单击【Select】按钮后选择要分析的日志文件，然后单击【Next】按钮，在出现的窗口中单击【Begin Work】按钮即可开始分析，如图4所示。

图4 Logs2Intrusions开始分析日志文件

　　　如图4所示，它表明已经发觉入侵的痕迹。如果没有发现痕迹则弹出如图5所示的对话框。

图5 Logs2Intrusions未发现入侵痕迹

　　　在发现痕迹后单击【Next】按钮继续，如图6所示。

图6 Logs2Instrusions发现入侵痕迹的情景

　　【View Report】按钮是查看报告，【Save Report】按钮是保存报告，【New Report】按钮是生成新报告。下面是报告的例子，如图7所示。

图7 Logs2Intrusions生成的分析报告

　　在"Intrusion Attempt"列中列出了超链接，选择它可以得到Trsecurity公司的专家的建议。和该软件同一目录中的sign.txt是入侵行为特征的关键字，用户可以根据新的漏洞的发现而随时补充。

返回专题首页：IIS 安装设置指南

（T113）

本文选自飞思图书《网络服务器安全配置详解》

赛迪网推出“IT博客”，花不到一分钟就完成注册

【评论】【推荐】【大中小】【打印】【关闭】

·Linux专区·

·黑客攻防·

·	Linux下添加硬盘、分区、格式化任务详解
·	FreeBSD服务器的安装与优化之优化篇
·	初学者入门：FreeBSD服务器的安装与优化
·	金企鹅杯两岸四地开源软件大赛圆满结束
·	如何提高Linux系统安全性的十大招数
·	构筑Linux防火墙之为个人用户设置防火墙

·	谁更安全？黑客眼中的防火墙与路由器
·	识破骗局练就识别QQ活动真伪火眼金睛
·	应用安全大有可为：目的、挑战、总结
·	道高一尺魔高一丈：安全防御的动感魅力
·	警惕网络“内”院起火积极谋求安内之路
·	HHCTRL漏洞被黑客利用疯狂传播木马

·中国信息化·

·成功案例·

·	ERP普及化是饮鸩止渴精细化才是应用之道
·	赛门铁克第八期《互联网安全威胁报告》解析
·	抢食“数字工商” 国产中间件杀出血路
·	从IBM等操作系统的发展看软件创新的启示
·	服务成就蓝色快车品牌是怎样炼成的？
·	三大技术应用大会合为一体甲骨文上演三重奏

·	南阳教育城域网　拆掉学校间的“围墙”
·	金算盘助申意美步入信息化快车道
·	不为人知的索尼信息化谁是幕后英雄？
·	InforBus/Q在穗高速路联网收费系统中的应用
·	J2EE构建最新金融理念和运作模式的网上银行
·	食品安全令人担心信息化能否保驾护航

*姓　　名：		更多资料了解方案认识厂商
*单位名称：		详细需求信息请在此处填写！
*联系电话：
*电子邮件：

◆ 相关文章

◆ 站内热点推荐

·	IIS的安全功能的配置过程
·	教你轻松安装IIS
·	如何安全配置IIS
·	Windows IIS 6安全保护贴—URL授权全攻略！
·	重点的防范对象—切实地“保护”IIS的安全

·	网管员论坛
·	开发者之家
·	WLAN无限未来
·	我是如何掉进C#的……
·	中国“人件”非正式调查

合作网站： IBM dW中国网站 LinuxAID 软件工程专家网中国系统分析员 UMLChina MATRIX Mobile2008 JavaResearch 华储网 UML软件工程组织中国JAVA手机网 JAVA中文站金山在线海量科技