黑帽联盟

 找回密码
 会员注册
查看: 2186|回复: 1
打印 上一主题 下一主题

[资源教程] IIS7服务器日志分析方法(教程详细分析)

[复制链接]

895

主题

38

听众

3329

积分

管理员

Rank: 9Rank: 9Rank: 9

  • TA的每日心情
    难过
    前天 22:31
  • 签到天数: 1652 天

    [LV.Master]伴坛终老

    IIS日志包含了哪些信息,如何来进行分析呢。

    用户每打开一次网页,iis 都会记录用户IP、访问的网页地址、访问时间、访问状态等信息,这些信息保存在 iis日志文件里,方便网站管理员掌握网页被访问情况和 iis 服务器运行情况。如果网页被恶意访问(如注入数据库),日志中会有相应的记录,并且能看到注入者用什么代码注入,便于分析网站漏洞。

    IIS日志提供了最有价值的信息,这些信息有哪些呢?看看这个截图吧:
    16130849-84f48a7ca1b246cdb834e9d7ed8f95fd.png

    这里面记录了:
    1. 请求发生在什么时刻,
    2. 哪个客户端IP访问了服务端IP的哪个端口,
    3. 客户端工具是什么类型,什么版本,
    4. 请求的URL以及查询字符串参数是什么,
    5. 请求的方式是GET还是POST,
    6. 请求的处理结果是什么样的:HTTP状态码,以及操作系统底层的状态码,
    7. 请求过程中,客户端上传了多少数据,服务端发送了多少数据,
    8. 请求总共占用服务器多长时间、等等。
    这些信息在分析时有什么用途,我后面再说。先对它有个印象就可以了。

    IIS日志的配置
    默认情况下,IIS会产生日志文件,不过,还是有些参数值得我们关注。 IIS的设置界面如下(本文以 IIS 8 的界面为例)。
    在IIS管理器中,选择某个网站,双击【日志】图标,请参考下图:
    选择“开始”菜单 → 管理工具 → Internet 信息服务(IIS)管理器,打开 iis 服务器窗口,依次展开选中要查看日志的网站,Windows Server 2008 R2 系统双击“日志”图标。
    16130925-33ff6033ff904539ade7dc0c27aa11da.png

    此时(主要部分)界面如下:
    16130945-d176d56f060d4822937c7eaa823ea141.png

    在截图中,日志的创建方式是每天产生一个新文件,按日期来生成文件名(这是默认值)。说明:IIS使用UTC时间,所以我勾选了最下面的复选框,告诉IIS用本地时间来生成文件名。
    点击【选择字段】按钮,将出现以下对话框:
    16131005-b9dcf2010a6a46a9912e66ec87f30b80.png
    注意:【发送的字段数】和【接收的字节数】默认是没有选择的。建议勾选它们。
    至于其它字段,你可以根据需要来决定是否要勾选它们。

    在主日志目录下,发现子目录名字比较有规律:W3SVC + 数字,联想到iis的站点配置文件中,每个站点会被分配一个ID,后边的数字应该是对应站点的ID。根据猜想,打开目录中的日志文件查看,得到印证。

    13.png

    帖子永久地址: 

    黑帽联盟 - 论坛版权1、本主题所有言论和图片纯属会员个人意见,与本论坛立场无关
    2、本站所有主题由该帖子作者发表,该帖子作者与黑帽联盟享有帖子相关版权
    3、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者和黑帽联盟的同意
    4、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
    5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
    6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
    7、黑帽联盟管理员和版主有权不事先通知发贴者而删除本文

    勿忘初心,方得始终!

    12

    主题

    5

    听众

    192

    积分

    黑帽新手

    Rank: 2

  • TA的每日心情
    擦汗
    2017-10-11 12:07
  • 签到天数: 125 天

    [LV.7]常住居民III

    好多服务器技术贴
    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 会员注册

    发布主题 !fastreply! 收藏帖子 返回列表 搜索
    回顶部