简介
这个在学习完前面的 Windows 应急之后真的对这个 Web 日志的重要性又有了深刻的认知,不仅是要去还原攻击者的画像,更是要尽可能捕获 0day,去还原攻击者的攻击链路。在 Windows 里面我们一般就结合小工具和编辑器去搜索,而在 Linux 中常常是借助这些伟大的 grep、awk 等内置命令等去实现
Apache 日志分析
日志文件默认是在/var/log/httpd 下面,Apache 的日志文件分两个,一个是 access.log,另一个是 error.log,在排查的时候着重关注的是 access.log 文件
我们来看一条 Apache 的访问日志:
127.0.0.1 - - [11/Jun/2018:12:47:22 +0800] "GET /login.html HTTP/1.1" 200 786 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/66.0.3359.139 Safari/537.36"
通过这条 Web 访问日志,我们可以清楚的得知用户在什么 IP、什么时间、用什么操作系统、什么浏览器的情况下访问了网站的哪个页面,是否访问成功
分析小技巧
1、列出当天访问次数最多的IP命令:
cut -d- -f 1 log_file|uniq -c | sort -rn | head -20
2、查看当天有多少个IP访问:
awk '{print $1}' log_file|sort|uniq|wc -l
3、查看某一个页面被访问的次数:
grep "/index.php" log_file | wc -l
4、查看每一个IP访问了多少个页面:
awk '{++S[$1]} END {for (a in S) print a,S[a]}' log_file
5、将每个IP访问的页面数进行从小到大排序:
awk '{++S[$1]} END {for (a in S) print S[a],a}' log_file | sort -n
6、查看某一个IP访问了哪些页面:
grep ^111.111.111.111 log_file| awk '{print $1,$7}'
7、去掉搜索引擎统计当天的页面:
awk '{print $12,$1}' log_file | grep ^\"Mozilla | awk '{print $2}' |sort | uniq | wc -l
8、查看2018年6月21日14时这一个小时内有多少IP访问:
awk '{print $4,$1}' log_file | grep 21/Jun/2018:14 | awk '{print $2}'| sort | uniq | wc -l
工具
导出来用那个 logsearch,还是蛮好用的