简介

信息安全工作场景很多,这里针对个人的一个工作场景自制一个日志分析工具。
在应急响应的时候如何从大量web日志中寻找和提取有用信息是我工作中所遇到的一个痛点。学习众多道友分享的文章后自己也做了一些总结,整理后编写了一个日志检测和信息提取的工具 logC ,下面将对web日志分析和该工具的使用分享自己的一些心得和方法。

web日志

日志有很多,接触最平凡的莫过于web日志。web日志主要出自nginx、IIS、tomcat、apache、weblogic等等(容器)中间件。每种中间件都支持自定义日志输出,大部分都是使用默认配置进行输出,所以这些中间件吐出的日志都很多共同信息,从安全角度或应急的特殊环境再进一提取,对我们有用的信息就很容易选了。比如源IP、path、query、params、status、req_length、res_time、res_length、res_time等。
源IP -> 发出攻击行为的IP地址
path、query、params -> 攻击载荷、攻击行为、攻击特征
status、req_length、res_time、res_length、res_time -> 攻击是否成功的判断依据

点击收藏 | 0 关注 | 1
  • 动动手指,沙发就是你的了!
登录 后跟帖