IS日志包含了哪些信息,如何來進(jìn)行分析呢。 利美知識百科
用戶每打開一次網(wǎng)頁,iis 都會記錄用戶IP、訪問的網(wǎng)頁地址、訪問時間、訪問狀態(tài)等信息,這些信息保存在 iis日志文件里,方便網(wǎng)站管理員掌握網(wǎng)頁被訪問情況和 iis 服務(wù)器運(yùn)行情況。如果網(wǎng)頁被惡意訪問(如注入數(shù)據(jù)庫),日志中會有相應(yīng)的記錄,并且能看到注入者用什么代碼注入,便于分析網(wǎng)站漏洞。 利美網(wǎng)絡(luò)
IIS日志提供了最有價值的信息,這些信息有哪些呢?看看這個截圖吧:
copyright limeiseo
本文利美網(wǎng)絡(luò)(m.nippyllc.com)整理發(fā)布
這里面記錄了:
1. 請求發(fā)生在什么時刻,
2. 哪個客戶端IP訪問了服務(wù)端IP的哪個端口,
3. 客戶端工具是什么類型,什么版本,
4. 請求的URL以及查詢字符串參數(shù)是什么,
5. 請求的方式是GET還是POST,
6. 請求的處理結(jié)果是什么樣的:HTTP狀態(tài)碼,以及操作系統(tǒng)底層的狀態(tài)碼,
7. 請求過程中,客戶端上傳了多少數(shù)據(jù),服務(wù)端發(fā)送了多少數(shù)據(jù),
8. 請求總共占用服務(wù)器多長時間、等等。 利美項目圈
這些信息在分析時有什么用途,我后面再說。先對它有個印象就可以了。
默認(rèn)情況下,IIS會產(chǎn)生日志文件,不過,還是有些參數(shù)值得我們關(guān)注。 IIS的設(shè)置界面如下(本文以 IIS 8 的界面為例)。
在IIS管理器中,選擇某個網(wǎng)站,雙擊【日志】圖標(biāo),請參考下圖:
本文利美網(wǎng)絡(luò)(m.nippyllc.com)整理發(fā)布
選擇“開始”菜單 → 管理工具 → Internet 信息服務(wù)(IIS)管理器,打開 iis 服務(wù)器窗口,依次展開選中要查看日志的網(wǎng)站,Windows Server 2008 R2 系統(tǒng)雙擊“日志”圖標(biāo)。 利美項目圈
利美網(wǎng)絡(luò)
利美項目圈
此時(主要部分)界面如下:
利美知識百科
copyright limeiseo
copyright limeiseo在截圖中,日志的創(chuàng)建方式是每天產(chǎn)生一個新文件,按日期來生成文件名(這是默認(rèn)值)。說明:IIS使用UTC時間,所以我勾選了最下面的復(fù)選框,告訴IIS用本地時間來生成文件名。 利美網(wǎng)絡(luò)
點擊【選擇字段】按鈕,將出現(xiàn)以下對話框:
copyright limeiseo
本文利美網(wǎng)絡(luò)(m.nippyllc.com)整理發(fā)布注意:【發(fā)送的字段數(shù)】和【接收的字節(jié)數(shù)】默認(rèn)是沒有選擇的。建議勾選它們。
至于其它字段,你可以根據(jù)需要來決定是否要勾選它們。
本文利美網(wǎng)絡(luò)(m.nippyllc.com)整理發(fā)布
在主日志目錄下,發(fā)現(xiàn)子目錄名字比較有規(guī)律:W3SVC + 數(shù)字,聯(lián)想到iis的站點配置文件中,每個站點會被分配一個ID,后邊的數(shù)字應(yīng)該是對應(yīng)站點的ID。根據(jù)猜想,打開目錄中的日志文件查看,得到印證。
copyright limeiseo
本文標(biāo)簽: