【TechTarget中国原创】第三步:完善服务器日志搜索
Bob可能会对搜索其他的请求感兴趣,特别是返回200代码的那些,它们表示他发现了一些内容。我们的命令行可以找一些这样的东西:>egrep -n -i "bob|200" access_log
虽然这会在日志记录上发现Bob或者整数200存在于某个位置,这并不意味着每一个返回的日志都会是Bob请求的“200”服务器代码。会返回很多我们不想要的数据。如果在日志中搜索同时Bob和200,可能会更准确。因为Bob和200周围都有空白,我们可以更进一步的分开我们想要查找的请求。还要注意参数-i,它会移除符合要求的请求,这样Bob、 bOb、boB、bob和BOB都符合我们的regex请求(regex query)。
egrep -n -i "\bbob\b.*200*" access_log
这条命令行就限制了我们的请求只能是日志中同时包含bob这个词和200这个数字的那些行。在bob这个词两边的\b表明了这个词的边界,或者一个词的开始和结束。在200前面的*表明在bob和200之间存在一些字符,而200之后的*允许200后存在字符。这会返回如下记录:
57:10.10.10.10 - bob
[10/Oct/2007:20:24:18 -0700] "GET / webmin HTTP/1.0" 404 726
59:10.10.10.10 - bob
[10/Oct/2007:20:24:59 -0700] "GET /admin HTTP/1.0" 404 726
65:10.10.10.10 - bob
[10/Oct/2007:20:25:35 -0700] "GET /login HTTP/1.0" 404 726
当检测这些结果的时候你会注意到的是看起来Bob正在找些东西。可能是某种类型的管理界面明或者进入Web服务器的方式。还有,通过密切关注和信息,就可以发现这三天信息是在一分钟内发出的,这告诉我们Bob的键盘速度非常快,或者他使用某种形式的自动化工具。后者最有可能,而这可能给我始深入调查他行为的足够信息。
还有, 住哟Bob的请求都满足404“没有发现”信息。如果是这样,那么为什么他们会显示呢?我们确实只要求乐200代码,对吧?这是计算机只作你告诉它要做的内容的基本的例子,在这种情况下,日期——时间标签碰巧包含字符串“200”,而这正是我们要求的。使用regex经常会产生误报,但是通过使用简单的请求(query),我们就可以消除大部分的误报。
我们将更进一步研究Bob。