Windows IIS日志提取和安全檢查分析
一、IIS日志介紹:
1.IIS簡介:
IIS全稱Internet Information Services,是由微軟公司提供的基於運行Microsoft Windwos的互聯網基本服務,IIS是一種Web(網頁)服務組件,其中包括Web服務器、FTP服務器、NNTP服務器和SMTP服務器,分別用於網頁瀏覽、文
件傳輸、新聞服務和郵件發送等方面,它使得在網絡(包括互聯網和局域網)上發布信息成了一件很容易的事。
IIS可設置的內容包括:虛擬目錄及訪問權限、默認文件名稱、目錄瀏覽。
2.IIS日志的路徑:
Server 2003,路徑為:C:\WINDOWS\system32\LogFiles;
Server 2008/R2,路徑為:C:\inetpub\logs\LogFiles。
Win10系統默認的IIS服務是關閉的,如果需要開啟服務,參考:https://jingyan.baidu.com/article/ea24bc39c43d72da62b331ce.html
3.W3C擴展日志文件格式:
轉自博客:https://www.cnblogs.com/fox-yu/p/7965509.html
下面是一段常見的IIS生產的W3C擴展WEB日志:
2011-09-01 16:02:22 GET /Enterprise/detail.asp 70.25.29.53 http:/ /www .example.com/searchout.asp 202 17735 369 4656
date time s-ip cs-method cs-uri-stem cs-uri-query s-port(#7) cs-username c-ip cs(User-Agent) cs(Cookie) cs(Referer) cs-host sc-status sc-substatus sc-win32-status time-taken
這個日志可以解讀為:IP是70.25.29.53,來自"http://www.example.com/searchout.asp"的訪客,在2011-09-01 16:02:22,訪問(GET)了主機的/Enterprise/detail.asp,訪問成功,得到17735字節數據。
目前常見的WEB日志格式主要由兩類,一類是Apache的NCSA日志格式,另一類是IIS的W3C日志格式。NCSA格式又分為NCSA普通日志格式 (CLF)和NCSA擴展日志格式(ECLF)兩類,目前最常用的是NCSA擴展日志格式(ECLF)及
基於自定義類型的Apache日志格式;而W3C 擴展日志格式(ExLF)具備了更為豐富的輸出信息,主要是微軟IIS(Internet Information Services)中應用。
日期:date 動作發生時的日期。
時間:time 動作發生時的時間(默認為UTC標准)。
客戶端IP地址:c-ip 訪問服務器的客戶端IP地址。
用戶名:cs-username 通過身份驗證的訪問服務器的用戶名。不包括匿名用戶(用‘-’表示)。
服務名:s-sitename 客戶所訪問的Internet服務名以及實例號。
服務器名:s-computername 產生日志條目的服務器的名字。
服務器IP 地址:s-ip 產生日志條目的服務器的IP地址。
服務器端口:s-port 服務端提供服務的傳輸層端口。
方法:cs-method 客戶端執行的行為(主要是GET與POST行為)。
URI Stem:cs-uri-stem 被訪問的資源,如Default.asp等。
URI Query:cs-uri-query 客戶端提交的參數(包括GET與POST行為)。
協議狀態:sc-status 用HTTP或者FTP術語所描述的、行為執行后的返回狀態。
Win32狀態:sc-win32-status 用Microsoft Windows的術語所描述的動作狀態。
發送字節數:sc-bytes 服務端發送給客戶端的字節數。
接受字節數:cs-bytes 服務端從客戶端接收到的字節數。
花費時間:time-taken 執行此次行為所消耗的時間,以毫秒為單位。
協議版本:cs-version 客戶端所用的協議(HTTP、FTP)版本。對HTTP協議來說是HTTP 1.0或者HTTP 1.1。
主機:cs-host 客戶端的HTTP報頭(host header)信息。
用戶代理:cs(User-Agent) 客戶端所用的瀏覽器版本信息。
Cookie:cs(Cookie) 發送或者接受到的cookie內容。
Referrer:cs(Referer) 用戶瀏覽的前一個網址,當前網址是從該網址鏈接過來的。
協議底層狀態:sc-substatus 協議底層狀態的一些錯誤信息。
二、使用Splunk大數據引擎分析IIS日志(Win10虛擬機為例):
1.步驟:
打開虛擬機Dos指令輸入“net start splunkd”打開splunk服務,稍等幾秒(打開默認端口為8080)——輸入用戶名密碼即可登錄splinkd界面,如圖(登錄界面):
2.搜索、處理IIS日志數據的命令:
source="oa_pc_iis_logs.log" host="oa_pc_iis_logs" index="main" sourcetype="iis"
3.統計所搜索的數據(可提供可視化的百分比顯示)
source="oa_pc_iis_logs.log" host="oa_pc_iis_logs" index="main" sourcetype="iis" | stats count by sc_status | sort - count
4.誇張腳本攻擊/嘗試指令:
source="security_edu_u_ex2014_1.log" host="security_edu_u_ex2014_1" index="main" sourcetype="iis" "alert" sc_status=200
5.訪問網頁的異常情況:
source="security_edu_u_ex2014_1.log" host="security_edu_u_ex2014_1" index="main" sourcetype="iis" sc_status=200 cs_method=GET ORcs_method=POST cs_uri_stem=*.aspx| stats count by cs_uri_stem | sort by count