【TechTarget中国原创】第二步:开始日志分析和调查
既然我们理解了日志格式的统计分析,我们就可以开始决定检查那些暗示存在可疑活动的请求的方式。例如,要求管理组件的请求,这些管理组件可能是WebMin,,这是一种Web服务器管理工具,或者admin,这是一个常见的登录界面的名称。这最优可能在日志中以请求细节的一部分出现。记住这一点,我们可以简单地把这些名字作为regex请求中的字符串放入到egrep: >egrep -n webmin访问日志。
其架构非常简单:egrep,后面跟任意配置参数,然后是搜索条件,之后是要搜索的文件名称。
在这种情况下,-n将会显示日志线路编程作为参考。
这应该可以产生任意的服务器日志记录,在此处,请求被添加到包含webmin的URL中。以下是返回的例子:
57:10.10.10.10 - bob
[10/Oct/2007:20:24:18 -0700] "GET / webmin HTTP/1.0" 404 726 |
把结果分解,在日志文件的第57行,有一个请求是在10月10日的下午8:44向Web服务器发出的,请求Webmin目录。我们还可以看到如武器返回了一个404信息,表示它没有找到目录。这很重要,因为可以访问服务器上的管理员功能的人可能知道去哪里看。Bob可能会搜索进入服务器的方法。