问:为确定我们的服务器所遭受的攻击类型并对其进行分类,我们目前正在着手对W2SVC和URLScan的日志文件进行分析。虽然我们已经找到了能够载入W3SVC日志文件的产品,但这些工具却无一能够对URLScan的日志文件进行扫描。请问Microsoft公司是否提供了能够帮助我们对URLScan日志文件进行分析的产品或工具?
答:请问一种允许您针对URLScan日志、W3SVC、事件查看器记录或其它任意一种基于文本的日志文件(如防火墙或入侵监测系统日志)进行数据挖掘、格式变化并生成分析报告的免费实用工具是否能够满足您的需要?Microsoft所提供的免费日志分析器工具正是专为满足那些需要收集并报告从具有不同文件格式的日志文件或其它数据源中所提取重要信息的IIS管理员、系统管理员和安全管理员的日常工作需求而设计的。
日志分析器可以将采用多种不同格式的日志文件当作“数据源”进行处理,这些日志文件包括:
W3C Extended
IIS
IISMSID [在安装MSIDFILT过滤器或CLOGFILT过滤器后所生成的Microsoft IIS日志格式文件]
NCSA Common
二进制日志文件格式(针对IIS 6)
开放式数据库连接(ODBC)
URLScan
HTTP错误日志文件(针对IIS 6)
针对系统日志文件、应用程序日志文件、安全事件日志文件和EVT备份日志文件的事件查看器记录。
普通CSV文件
普通W3C文件,如个人防火墙日志文件,Windows媒体服务日志文件和Exchange跟踪日志文件。
文件与目录结构信息。
普通文本文件
日志分析器包含一种允许您通过运行SQL查询语句的方式生成分析报告或重新格式化信息结构的查询引擎。某些通过SQL语法实现的技巧将为您提供极大的便利。
例如,您可以通过以下语句针对某个Web站点汇总每小时处理的请求个数以及所发送的字节数量:
SELECT TO_STRING(TO_TIMESTAMP(date, time), 'yyyy-MM-dd hh') AS Hour,
COUNT(*) AS Total,
SUM(sc-bytes) AS TotBytesSent
FROM ex*.log
GROUP BY Hour
ORDER BY Hour
当然,您还可以通过单独文件夹或文件以及日志文件中所提供的诸如日期、时间之类的参数来缩小查询范围。
按照相同的方式,您便可以对URLScan日志进行查询。以下示例将报告通过某一客户端IP地址所拒绝的请求次数:
SELECT ClientIP,
COUNT(*)
FROM URLSCAN
WHERE Comment LIKE 'Url%'
GROUP BY ClientIP
日志分析器还提供了许多其它特性,其中包括将结果输出至XML文件的功能、提供日志分析器功能的Active X对象(通过ADO实现)、以及通过自定义模板格式化输出结果的能力。
显而易见,这是一种功能非常强大的实用工具,它将顺理成章的成为广大IIS管理员“工具包”文件夹中的一员。
分析URLScan日志文件
原创文章如转载,请注明:转载自悠悠博客 [ http://www.ajaxstu.com/ ]
相关文章:
- IIS配置文件后门(2007-11-24 10:15:53)
- 查询实际存在的 ASP 页时,出现“页找不到”的404错误(2007-11-5 10:43:32)
- 防范WEB SHELL 提高服务器安全(2007-11-4 8:59:34)
- 解决iis内存占用过大的问题(2007-11-3 6:47:26)
- 自定义 IIS 6 错误信息(2007-10-27 3:18:43)
- 论windows下是否能开相对安全的全能空间(2007-10-20 1:52:48)
- [WSH]自动配置IIS(2007-10-11 8:5:0)
- 屏蔽 HTTP 标头(内容-位置)中的 IP 地址(2007-10-8 3:59:21)
- 服务器安全配置精华技巧(2007-9-20 1:20:50)
- Windows WEB服务器安全设置攻略(by 阿江)(2007-8-24 11:34:24)
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。
