0X00前言
昨天看群里有人問,應急的時候怎么對日志進行分析,
然后我推薦360星圖,然后有了此文,本篇介紹日志分析常用工具和命令
0X01日志在哪里
首先我想到的是
容器(iis/Apache/nginx)日志,(mysql/mssql)數據庫日志,還有系統日志,那么系統日志可以看下下面兩篇。
http://jingyan.baidu.com/article/4b52d702ad08a8fc5c774b14.html
事件日志--事件查看器,window日志
https://www.cnblogs.com/songxingzhu/p/5304908.html MYSQL啟用日志,和查看日志
這里以一台window2003服務器為例子,日志文件在
目錄C:\Windows\System32\LogFiles\下
如果你要通過iis管理器看
取到日志,我們開始用360星圖進行分析了
使用方法
設置好日志路徑
點擊Start.bat之后
整個過程很簡單
當然還有愛站工具包
0X02其他
有人說不想用上面那個,因為一下子就學會了,那個操作,不需要太多技術含量,因為應急的時候日志分析確實不想一下子給別人知道你用的什么,那就來點命令行的
Linux命令行下的幾個操作
1、查找日志文件
#locate access_log
通常是這么用的,查找后綴為jsp的文件。
#locate *.jsp
2、查看日志中訪問次數最多的前10個IP
#cat /var/log/httpd/access_log |cut -d ' ' -f 1 |sort |uniq -c | sort -nr | awk '{print $0 }' | head -n 10
3、查看最近訪問量最高的文件
#cat /var/log/httpd/access_log |tail -10000|awk '{print $7}'|sort|uniq -c|sort -nr|less
4、查看傳輸時間超過 30 秒的文件
# cat /var/log/httpd/access_log |awk '($NF > 30){print $7}'|sort -n|uniq -c|sort -nr|head -20
還是覺得不夠人性化,找了一下,我們找到了splunk,
右邊點free splunk,然后注冊,會給你兩個地址,
上面我貼了一個win10的下載地址,然后安裝,直到登陸界面
Admin, changeme,登進去第一件是就是改密碼 然后再登陸,它有一個演示教程
更多實例,大家參考下官方實例每天500M這個限制很頭疼
0X03拓展閱讀
http://www.freebuf.com/articles/database/123006.html