借助VMware Log Insight工具分析系统日志
借助VMware Log Insight工具分析系统日志(配置篇)
日期:2013-9-10 作者:David Davis 翻译:李哲贤来源:TechTarget 中国我要评论
英文
大 | 中 | 小
?投稿
?打印
导读:本文介绍如何对VMware Log Insight进行初始化配置,以及如何使用VMware Log Insight对系统日志进行分析。
关键词:VMware Log Insight日志分析VMware Log Insight部署
【TechTarget中国原创】我们在《借助VMware Log Insight工具分析系统日志(启动篇)》中介绍了如何启动VMware Log Insight,并简单介绍了Log Insight 的存储空间与虚拟机规模。这里我们继续介绍如何对VMware Log Insight工具进行配置。
VMware Log Insight初始化配置
一旦完成Log Insight的部署,在Web浏览器中输入Log Insight的IP地址或主机名。然后可以看到VMware登录画面,默认用户名为admin,密码为空。从这里打开Log Insight初始化配置向导,如图3所示。
图3
该向导会引导您配置如下的一些参数:
? 管理员密码和email地址
? Log Insight软件授权码(在beta版中不需要)
? 通知邮件发送地址
? NTP时间
? SMTP服务器设置
? VMware vCenter和vCenter Operations Manager的集成
? 数据归档(可选)
? SSL认证(可选)
当您重启Log Insight、重新连接和通过管理员用户和密码登录到Log Insight 时,您可以看到图4的内容:
图4
现在您需要配置ESXi宿主机(至少)来发送它们的系统日志到Log Insight。您可以通过如下任意一种可选方式配置:
? Configure-esxi (推荐)——在Log Insight控制台中运行这个新的Log Insight命令,可以对所有通过vCenter服务器管理的ESXi主机的系统日志进行管理。
? Esxcli system syslog config——您需要在每台主机上运行该命令,指定系统日志服务器。
? vSphere Client GUI——如图5所示,您需要进入每台主机的配置页,在软件的高级设置中,设置syslog.global.loghost。
图5
PowerCLI——使用set –vmhostsyslogserver 命令。
要想ESXi把数据发送给Log Insight,您需要在服务配置的防火墙规则中添加允许系统日志流量发送的例外。
了解和分析
一旦Log Insight开始收集系统日志,您可以开始以两种方式之一来分析数据,根据所需信息的不同两种方式都会用到。vSphere Dashboard包含了虚拟架构日志的整体视图。从dashboard中,您可以执行一个具体的交互式分析。
交互式分析包含了一个类似Google的搜索栏,如图6所示。
图6
您可以通过约束条件来过滤数据,减少字段数量或缩短时间范围。一旦您已经完成搜索并得到过滤的结果,您使用保存查询结果选项,可以把结果显示在dashboard中、为该查询设置警报,甚至通过把URL发送给同事实现查询结果的共享。
VMware vCenter Log Insight的友好用户界面使其成为VMware管理组合的有效补充。如果进一步被第三方厂商接受,以及用在VMware社区中,各种共享补丁将使 Log Insight变得流行和强大。通过对服务器、ESXi宿主机、vCenter服务器、vCenter Operations Manager、网络设备以及存储设备的支持,Log Insight 使得很多vSphere管理员的工作变得简单。
详解Windows Server 2008安全日志
建立安全日志记录 为了让大家了解如何追踪计算机安全日志功能的具体方面,首先需要了解如何启动安全日志。大多数Windows计算机(除了某些域控制器版本系统)默认情况下不会向安全日志(Security Log)启动日志记录信息。这样的设置有利也有弊,弊的方面在于,除非用户强迫计算机开始日志记录安全事件,否则根本无法进行任何追踪。好的方面在于,不会发生日志信息爆满的问题以及提示日志已满的错误信息,这也是Windows Server 2003域控制器在没有任何预警下的行为。 安全日志事件跟踪可以使用组策略来建立和配置,当然你可以配置本地组策略对象,但是这样的话,你将需要对每台计算机进行单独配置。另外,你可以使用Active Directory内的组策略为多台计算机设置日志记录配置。要建立安全日志追踪,首先打开连接到域的计算机上的Group Policy Management Console (GPMC,组策略管理控制台),并以管理员权限登录。在GPMC中,你可以看到所有的组织单位(OU)(如果你事先创建了的话)以及GPO(如果你创建了两个以上),在本文中,我们将假设你有一个OU,这个OU中包含所有需要追踪相同安全日志信息的计算机,我们将使用台式计算机OU和AuditLog GPO。 编辑AuditLog GPO然后展开至以下节点: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Audit Policy 类别控制范围的简要介绍 以下是关于每种类别控制范围的简要介绍: 审计帐户登录事件–每次用户登录或者从另一台计算机注销的时候都会对该事件进行审计,计算机执行该审计是为了验证帐户,关于这一点的最好例子就是,当用户登录到他们的Windows XP Professional计算机上,总是由域控制器来进行身份验证。由于域控制器对用户进行了验证,这样就会在域控制器上生成事件。除了Windows Server 2003域控制器(配置为审计这些事件的成功与否)启动了设置外,没有操作系统启动该设置。最常见以及最佳的做法就是让所有的域控制器和服务器对这些事件进行审计。我还发现,在很多环境中,客户端也会配置为审计这些事件。 审计账户管理–这个将对所有与管理计算机(配置了审计)的用户数据库中的帐户的用户有关的事件进行审计,这些事件的示例如下: ·创建一个用户帐户 ·添加用户到一个组 ·重命名用户帐户 ·为用户帐户更改密码 对于域控制器而言,该管理政策将会对域帐户更改进行审计。对于服务器或者客户端而言,它将会审计本地安全帐户管理器(Security Accounts Manager)以及相关的帐户。除了Windows Server 2003域控制器(配置为审计这些事件的成功与否)启动了设置外,没有操作系统启动该设置。最常见以及最佳的做法就是让所有的域控制器和服务器对这些事件进行审计。对于用户帐户的审计,安全日志以及审计设置是不能捕捉的。 审计目录服务访问–这个将对与访问AD对象(已经被配置为通过系统访问控制列表SACL 追踪用户访问情况)的用户有关的事件进行审计,AD对象的SACL指明了以下三件事: ·将会被追踪的帐户(通常是用户或者组)
大数据分析的六大工具介绍
大数据分析的六大工具介绍 2016年12月 一、概述 来自传感器、购买交易记录、网络日志等的大量数据,通常是万亿或EB的大小,如此庞大的数据,寻找一个合适处理工具非常必要,今天我们为大家分学在大数据处理分析过程中六大最好用的工具。 我们的数据来自各个方面,在面对庞大而复杂的大数据,选择一个合适的处理工具显得很有必要,工欲善其事,必须利其器,一个好的工具不仅可以使我们的工作事半功倍,也可以让我们在竞争日益激烈的云计算时代,挖掘大数据价值,及时调整战略方向。 大数据是一个含义广泛的术语,是指数据集,如此庞大而复杂的,他们需要专门设il?的硬件和软件工具进行处理。该数据集通常是万亿或EB的大小。这些数据集收集自各种各样的来源:传感器、气候信息、公开的信息、如杂志、报纸、文章。大数据产生的其他例子包括购买交易记录、网络日志、病历、事监控、视频和图像档案、及大型电子商务。大数据分析是在研究大量的数据的过程中寻找模式, 相关性和其他有用的信息,可以帮助企业更好地适应变化,并做出更明智的决策。 二.第一种工具:Hadoop Hadoop是一个能够对大量数据进行分布式处理的软件框架。但是Hadoop是 以一种可黑、高效、可伸缩的方式进行处理的。Hadoop是可靠的,因为它假设计算元素和存储会失败,因此它维护多个工作数据副本,确保能够针对失败的节点重新分布处理。Hadoop 是高效的,因为它以并行的方式工作,通过并行处理加快处理速度。Hadoop还是可伸缩的,能够处理PB级数据。此外,Hadoop依赖于社区服务器,因此它的成本比较低,任何人都可以使用。
Hadoop是一个能够让用户轻松架构和使用的分布式计算平台。用户可以轻松地 在Hadoop上开发和运行处理海量数据的应用程序。它主要有以下儿个优点: ,高可黑性。Hadoop按位存储和处理数据的能力值得人们信赖。,高扩展性。Hadoop是 在可用的计?算机集簇间分配数据并完成讣算任务 的,这些集簇可以方便地扩展到数以千计的节点中。 ,高效性。Hadoop能够在节点之间动态地移动数据,并保证各个节点的动 态平衡,因此处理速度非常快。 ,高容错性。Hadoop能够自动保存数据的多个副本,并且能够自动将失败 的任务重新分配。 ,Hadoop带有用Java语言编写的框架,因此运行在Linux生产平台上是非 常理想的。Hadoop上的应用程序也可以使用其他语言编写,比如C++。 第二种工具:HPCC HPCC, High Performance Computing and Communications(高性能计?算与通信)的缩写° 1993年,山美国科学、工程、技术联邦协调理事会向国会提交了“重大挑战项 U:高性能计算与通信”的报告,也就是被称为HPCC计划的报告,即美国总统科学战略项U ,其U的是通过加强研究与开发解决一批重要的科学与技术挑战 问题。HPCC是美国实施信息高速公路而上实施的计?划,该计划的实施将耗资百亿 美元,其主要U标要达到:开发可扩展的计算系统及相关软件,以支持太位级网络 传输性能,开发千兆比特网络技术,扩展研究和教育机构及网络连接能力。
系统安全防范之Windows日志与入侵检测
系统安全防范之Windows日志与入侵检测 一、日志文件的特殊性 要了解日志文件,首先就要从它的特殊性讲起,说它特殊是因为这个文件由系统管理,并加以保护,一般情况下普通用户不能随意更改。我们不能用针对普通TXT文件的编辑方法来编辑它。例如WPS系列、Word系列、写字板、Edit等等,都奈何它不得。我们甚至不能对它进行“重命名”或“删除”、“移动”操作,否则系统就会很不客气告诉你:访问被拒绝。当然,在纯DOS的状态下,可以对它进行一些常规操作(例如Win98状态下),但是你很快就会发现,你的修改根本就无济于事,当重新启动Windows 98时,系统将会自动检查这个特殊的文本文件,若不存在就会自动产生一个;若存在的话,将向该文本追加日志记录。 二、黑客为什么会对日志文件感兴趣 黑客们在获得服务器的系统管理员权限之后就可以随意破坏系统上的文件了,包括日志文件。但是这一切都将被系统日志所记录下来,所以黑客们想要隐藏自己的入侵踪迹,就必须对日志进行修改。最简单的方法就是删除系统日志文件,但这样做一般都是初级黑客所为,真正的高级黑客们总是用修改日志的方法来防止系统管理员追踪到自己,网络上有很多专门进行此类功能的程序,例如Zap、Wipe等。 三、Windows系列日志系统简介 1.Windows 98的日志文件 因目前绝大多数的用户还是使用的操作系统是Windows 98,所以本节先从Windows 98的日志文件讲起。Windows 98下的普通用户无需使用系统日志,除非有特殊用途,例如,利用Windows 98建立个人Web服务器时,就会需要启用系统日志来作为服务器安全方面的参考,当已利用Windows 98建立个人Web服务器的用户,可以进行下列操作来启用日志功能。(1)在“控制面板”中双击“个人Web服务器”图标;(必须已经在配置好相关的网络协议,并添加“个人Web服务器”的情况下)。 (2)在“管理”选项卡中单击“管理”按钮; (3)在“Internet服务管理员”页中单击“WWW管理”; (4)在“WWW管理”页中单击“日志”选项卡; (5)选中“启用日志”复选框,并根据需要进行更改。将日志文件命名为“Inetserver_event.log”。如果“日志”选项卡中没有指定日志文件的目录,则文件将被保存在Windows文件夹中。 普通用户可以在Windows 98的系统文件夹中找到日志文件schedlog.txt。我们可以通过以下几种方法找到它。在“开始”/“查找”中查找到它,或是启动“任务计划程序”,在“高级”菜单中单击“查看日志”来查看到它。Windows 98的普通用户的日志文件很简单,只是记录了一些预先设定的任务运行过程,相对于作为服务器的NT操作系统,真正的黑客们很少对Windows 98发生兴趣。所以Windows 98下的日志不为人们所重视。 2.Windows NT下的日志系统 Windows NT是目前受到攻击较多的操作系统,在Windows NT中,日志文件几乎对系统中的每一项事务都要做一定程度上的审计。Windows NT的日志文件一般分为三类: 系统日志:跟踪各种各样的系统事件,记录由Windows NT 的系统组件产生的事件。例如,在启动过程加载驱动程序错误或其它系统组件的失败记录在系统日志中。 应用程序日志:记录由应用程序或系统程序产生的事件,比如应用程序产生的装载dll(动态链接库)失败的信息将出现在日志中。 安全日志:记录登录上网、下网、改变访问权限以及系统启动和关闭等事件以及与创建、打开或删除文件等资源使用相关联的事件。利用系统的“事件管理器”可以指定在安全日志中记录需要记录的事件,安全日志的默认状态是关闭的。
使用perconna慢查询日志分析工具
使用perconna慢查询日志分析工具 第一部分:安装percona-toolkit 一、环境 linux(不支持windows) 二、快速安装 (我使用的,用成功了) wget https://https://www.360docs.net/doc/8211565484.html,/downloads/percona-toolkit/2.2.16/RPM/percona-toolkit-2.2.16-1.noarch.rpm && yum localinstall -y percona-toolkit-2.2.16-1.noarch.rpm 三、源码安装 (网上还有这种装法,本人linux白痴一个,没敢用这么复杂方法,不知道此方法可行不,有兴趣的可以试下): wget https://https://www.360docs.net/doc/8211565484.html,/downloads/percona-toolkit/2.2.14/tarball/perc ona-toolkit-2.2.14.tar.gz tar -zxvf percona-toolkit-2.2.14.tar.gz cd percona-toolkit-2.2.14 #cat Makefile.PL #cat README perl Makefile.PL make make test make install /usr/local/bin/pt-query-digest /opt/tuniu/mysql/data/slow-query.log 第二部分:语法及重要选项 一、语法 pt-query-digest [OPTIONS] [FILES] [DSN] 二、重要选项
--create-review-table 当使用--review参数把分析结果输出到表中时,如果没有表就自动创建。 --create-history-table 当使用--history参数把分析结果输出到表中时,如果没有表就自动创建。 --filter 对输入的慢查询按指定的字符串进行匹配过滤后再进行分析 --limit限制输出结果百分比或数量,默认值是20,即将最慢的20条语句输出,如果是50%则按总响应时间占比从大到小排序,输出到总和达到50%位置截止。--host mysql服务器地址 --user mysql用户名 --password mysql用户密码 --history将分析结果保存到表中,分析结果比较详细,下次再使用--history 时,如果存在相同的语句,且查询所在的时间区间和历史表中的不同,则会记录到数据表中,可以通过查询同一CHECKSUM来比较某类型查询的历史变化。 --review将分析结果保存到表中,这个分析只是对查询条件进行参数化,一个类型的查询一条记录,比较简单。当下次使用--review时,如果存在相同的语句分析,就不会记录到数据表中。 --output分析结果输出类型,值可以是report(标准分析报告)、 slowlog(Mysql slow log)、json、json-anon,一般使用report,以便于阅读。--since从什么时间开始分析,值为字符串,可以是指定的某个”yyyy-mm-dd [hh:mm:ss]”格式的时间点,也可以是简单的一个时间值:s(秒)、h(小时)、m(分钟)、d(天),如12h就表示从12小时前开始统计。 --until截止时间,配合—since可以分析一段时间内的慢查询。 第三部分:用法示例 你用第一次pt-query-digest命令的时候,系统会提示你安装它,然后根据它的提示一步一步走下去就好了; 安装完成之后就可以用这个的命令了; 一、直接分析慢查询文件: pt-query-digest slow.log > slow_report.log 二、分析最近12小时内的查询: pt-query-digest --since=12h slow.log > slow_report2.log 三、分析指定时间范围内的查询: pt-query-digest slow.log --since ‘2014-04-17 09:30:00‘ --until ‘2014-04-17 10:00:00‘> > slow_report3.log 四、分析指含有select语句的慢查询 pt-query-digest--filter ‘$event->{fingerprint} =~ m/^select/i‘ slow.log> slow_report4.log
WEB安全测试
Web安全测试——手工安全测试方法及修改建议 发表于:2017-7-17 11:47 ?作者:liqingxin ? 来源:51Testing软件测试网采编 字体:???|??|??|??|?|?推荐标签:??? 常见问题 (CrossSite Script)跨站脚本攻击 (CrossSite Script)跨站脚本攻击。它指的是恶意攻击者往Web 页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web 里面的html 代码会被执行,从而达到恶意用户的特殊目的。 方法:? 在数据输入界面,添加输入:,添加成功如果弹出对话框,表明此处存在一个XSS?。 或把url请求中参数改为,如果页面弹出对话框,表明此处存在一个XSS 漏洞 修改建议: 过滤掉用户输入中的危险字符。对输入数据进行客户端和程序级的校验(如通过正则表达式等)。 Eg:对用户输入的地方和变量有没有做长度和对”<”,”>”,”;”,”’”等字符是否做过滤 与跨站脚本(XSS) CSRF与跨站脚本(XSS),是指请求迫使某个登录的向易受攻击的Web应用发送一个请求,然后以受害者的名义,为入侵者的利益进行所选择的行动。 测试方法: 同个浏览器打开两个页面,一个页面权限失效后,另一个页面是否可操作成功使用工具发送请求,在http请求头中不加入referer字段,检验返回消息的应答,应该重新定位到错误界面或者登陆界面。 修改建议: 在不同的会话中两次发送同一请求并且收到相同的响应。这显示没有任何参数是动态的(会话标识仅在cookie 中发送),因此应用程序易受到此问题攻击。因此解决的方法为 Hashing(所有表单都包含同一个伪随机值): 2. ?验证码 ‐Time Tokens(不同的表单包含一个不同的伪随机值)客户端保护措施:应用防止CSRF攻击的工具或插件。 3.注入测试
windows系统日志与入侵检测详解-电脑教程
windows系统日志与入侵检测详解 -电脑教程.txt我很想知道,多少人分开了,还是深爱着?、自己哭自己笑自己看着自己闹 . 你用隐身来躲避我丶我用隐身来成全你!待到一日权在手 , 杀尽天下负我 狗 .windows 系统日志与入侵检测详解 - 电脑教程 系统日志源自航海日志:当人们出海远行地时候,总是要做好航海日志,以便为以后地工作做出依据?日志文件作为微软 Windows系列操作系统中地一个比较特殊地文件,在安全方面 具有无可替代地价值 . 日志每天为我们忠实地记录着系统所发生一切,利用系统日志文件,可以使系统管理员快速对潜在地系统入侵作出记录和预测,但遗憾地是目前绝大多数地人都忽略了它地存在?反而是因为黑客们光临才会使我们想起这个重要地系统日志文件? 7.1日志文件地特殊性 要了解日志文件,首先就要从它地特殊性讲起,说它特殊是因为这个文件由系统管理,并加以保护,一般情况下普通用户不能随意更改?我们不能用针对普通 TXT文件地编辑方法来编辑它 例如 WPS系列、Word系列、写字板、Edit等等,都奈何它不得.我们甚至不能对它进行“重命名”或“删除”、“移动”操作 , 否则系统就会很不客气告诉你:访问被拒绝? 当然 , 在纯DOS地状态下,可以对它进行一些常规操作(例如 Win98状态下 >,但是你很快就会发现,你地 修改根本就无济于事 , 当重新启动 Windows 98 时 , 系统将会自动检查这个特殊地文本文件 , 若不存在就会自动产生一个;若存在地话,将向该文本追加日志记录? b5E2RGbCAP 7.1.1黑客为什么会对日志文件感兴趣 黑客们在获得服务器地系统管理员权限之后就可以随意破坏系统上地文件了,包括日志文件?但是这一切都将被系统日志所记录下来,所以黑客们想要隐藏自己地入侵踪迹,就必须对日志进行修改 . 最简单地方法就是删除系统日志文件,但这样做一般都是初级黑客所为,真正地高级黑客们总是用修改日志地方法来防止系统管理员追踪到自己,网络上有很多专门进行此类 功能地程序,例如Zap、Wipe等.p1EanqFDPw 7.1.2Windows 系列日志系统简介 1.Windows 98 地日志文件 因目前绝大多数地用户还是使用地操作系统是 Windows 98,所以本节先从 Windows 98 地日志文件讲起 .Windows 98 下地普通用户无需使用系统日志,除非有特殊用途,例如,利用 Windows 98建立个人 Web服务器时,就会需要启用系统日志来作为服务器安全方面地参考,当已利用 Windows 98 建立个人 Web 服务器地用户,可以进行下列操作来启用日志功能 . DXDiTa9E3d (1>在“控制面板”中双击“个人Web服务器”图标;(必须已经在配置好相关地网络协议,并添加“个人 Web服务器”地情况下>.RTCrpUDGiT (2> 在“管理”选项卡中单击“管理”按钮; (3>在“In ternet 服务管理员”页中单击“ WW管理”;
Windows日志文件解读
Windows日志文件完全解读 日志文件,它记录着Windows系统及其各种服务运行的每个细节,对增强Windows的稳定和安全性,起着非常重要的作用。但许多用户不注意对它保护,一些“不速之客”很轻易就将日志文件清空,给系统带来严重的安全隐患。 一、什么是日志文件 日志文件是Windows系统中一个比较特殊的文件,它记录着Windows系统中所发生的一切,如各种系统服务的启动、运行、关闭等信息。Windows日志包括应用程序、安全、系统等几个部分,它的存放路径是“%systemroot%system32config”,应用程序日志、安全日志和系统日志对应的文件名为AppEvent.evt、SecEvent.evt和SysEvent.evt。这些文件受到“Event Log(事件记录)”服务的保护不能被删除,但可以被清空。 二、如何查看日志文件 在Windows系统中查看日志文件很简单。点击“开始→设置→控制面板→管理工具→事件查看器”,在事件查看器窗口左栏中列出本机包含的日志类型,如应用程序、安全、系统等。查看某个日志记录也很简单,在左栏中选中某个类型的日志,如应用程序,接着在右栏中列出该类型日志的所有记录,双击其中某个记录,弹出“事件属性”对话框,显示出该记录的详细信息,这样我们就能准确的掌握系统中到底发生了什么事情,是否影响Windows 的正常运行,一旦出现问题,即时查找排除。 三、Windows日志文件的保护 日志文件对我们如此重要,因此不能忽视对它的保护,防止发生某些“不法之徒”将日志文件清洗一空的情况。 1.修改日志文件存放目录 Windows日志文件默认路径是“%systemroot%system32config”,我们可以通过修改注册表来改变它的存储目录,来增强对日志的保护。 点击“开始→运行”,在对话框中输入“Regedit”,回车后弹出注册表编辑器,依次展开“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后,下面的Application、Security、System几个子项分别对应应用程序日志、安全日志、系统日志。 笔者以应用程序日志为例,将其转移到“d:cce”目录下。选中Application子项,在右栏中找到File键,其键值为应用程序日志文件的路径“%SystemRoot%system32configAppEvent.Evt”,将它修改为“d:cceAppEvent.Evt”。接着在D盘新建“CCE”目录,将“AppEvent.Evt”拷贝到该目录下,重新启动系统,完成应用程序日志文件存放目录的修改。其它类型日志文件路径修改方法相同,只是在不同的子项下操作。 2.设置文件访问权限 修改了日志文件的存放目录后,日志还是可以被清空的,下面通过修改日志文件访问权限,防止这种事情发生,前提是Windows系统要采用NTFS文件系统格式。 右键点击D盘的CCE目录,选择“属性”,切换到“安全”标签页后,首先取消“允许将来自父系的可继承权限传播给该对象”选项勾选。接着在账号列表框中选中“Everyone”账号,只给它赋予“读取”权限;然后点击“添加”按钮,将“System”账号添加到账号列表框中,赋予除“完全控制”和“修改”以外的所有权限,最后点击“确定”按钮。这样当用户清除Windows日志时,就会弹出错误对话框。 四、Windows日志实例分析 在Windows日志中记录了很多操作事件,为了方便用户对它们的管理,每种类型的事件都赋予了一个惟一的编号,这就是事件ID。 1.查看正常开关机记录
IIS日志分析方法及工具
日志的重要性已经越来越受到程序员的重视,IIS的日志更是不言而喻。 www.eshuba.co m E书吧 IIS日志建议使用W3C扩充日志文件格式,这也是IIS 5.0已上默认的格式,可以指定每天记录客户IP地址、用户名、服务器端口、方法、URI资源、UR I查询、协议状态、用户代理,每天要审查日志。如图1所示。 IIS 的WWW日志文件默认位置为%systemroo t%\system32\logfiles\w3svc1\,(例如:我的则是在C:\W IND OW S\system32\LogFiles\W3SVC1\),默认每天一个日志。 建议不要使用默认的目录,更换一个记录日志的路径,同时设置日志访问权限,只允许管理员和SYSTEM为完全控制的权限。如图2所示。
如果发现IIS日志再也不记录了,解决办法: 看看你有没有启用日志记录:你的网站--> 属性-->“网站”-->“启用日志”是否勾选。 日志文件的名称格式是:ex+年份的末两位数字+月份+日期。 ( 如2002年8月10日的WWW日志文件是ex020810.log) IIS的日志文件都是文本文件,可以使用任何编辑器或相关软件打开,例如记事本程序,AWStats工具。 开头四行都是日志的说明信息 #So ftware生成软件 #Ve rsion 版本 #Da te 日志发生日期
#Fields 字段,显示记录信息的格式,可由IIS自定义。 日志的主体是一条一条的请求信息,请求信息的格式是由#Fields定义的,每个字段都有空格隔开。 字段解释 data 日期 time 时间 cs-me thod 请求方法 cs-uri-stem 请求文件 cs-uri-q uery请求参数 cs-use rname客户端用户名 c-ip 客户端IP cs-versio n 客户端协议版本 cs(User-Age nt) 客户端浏览器 cs(Refe rer) 引用页 下面列举说明日志文件的部分内容(每个日志文件都有如下的头4行): #So ftware: Microso ft Interne t Info rma tio n Services 6.0 #Ve rsion: 1.0 #Da te: 2007-09-21 02:38:17
Serv-U日志分析工具(sustat)
Serv-U日志分析工具(sustat) 转载 sustat是一个专门用来分析Serv-U生成的log file的工具,其功能强大,而且效率很高,但是因为是完全基于命令行操作的,所以易用性方面不够,对于一些初级用户尤显困难。下面我将简单介绍一下sustat的使用方法,对它的使用参数加以注释,及介绍一些效率提高方法。 示例一:统计各个帐号的使用情况,包括登陆次数,下载上传文件数和数据量,所占百分比等等。这个也是sustat的默认功能(不带任何参数即可)。 引用 sustat redjnuredjnu050401.log 注:红色部分为sustat的主程序,蓝色部分为欲统计的Serv-U log file,我们一般设定log file 每天自动生成,所以日志文件一般以日期命名。此出即统计2005年4月1日的FTP信息。下同。 得到的结果类似下面,包括总的文件下载上传次数和各个不同帐号的登陆次数,下载上传文件数和文件量。 Stats from 01Apr05 000009 to 01Apr05 235958 Users downloaded 1179 files = 146738.39 MB uploaded 13 files = 2013.99 MB User Conx Dfile DMB D% UFile UMB U% ______________________________________________________________________________ 1 TV_ADV 645 491 73111.45 49.82% 0 0.00 0.00% 2 TV 415 348 55100.52 37.55% 0 0.00 0.00% 3 OP_DREAMSKY 9 23 4226.60 2.88% 1 0.00 0.00% 4 MUSIC 84 73 3528.58 2.40% 0 0.00 0.00% 5 JIMEY 5 13 2956.31 2.01% 3 539.58 26.79% 6 TV_JNU 318 4 7 2757.36 1.88% 0 0.00 0.00% 7 GHOUL 18 14 2728.60 1.86% 7 1357.93 67.42% 8 TW 2 17 2147.03 1.46% 0 0.00 0.00% 9 TV_VIP 7 2 153.66 0.10% 0 0.00 0.00% 10 Anonymous 461 151 28.31 0.02% 0 0.00 0.00% 11 TV_LIST 28 0 0.00 0.00% 0 0.00 0.00% 12 OP_K100 1 0 0.00 0.00% 1 59.83 2.97% 13 OP_EDISON 3 0 0.00 0.00% 1 56.64 2.81% ______________________________________________________________________________ 示例二:统计文件下载次数。 sustat redjnuredjnu050401.log -f 10
Web安全之网页木马的检测与防御
Web安全之网页木马的检测与防御随着Web2.0、社交网络、微博等等一系列新型的互联网产品的诞生,基于Web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在Web平台上,Web业务的迅速发展也引起黑客们的强烈关注,接踵而至的就是Web安全威胁的凸显,黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。在Web安全的攻击种类中,网页木马一直是一个不容忽视的问题。黑客把一个木马程序上传到一个网站里面然后用木马生成器生一个网马,再上到空间里面,再加代码使得木马在打开网页里运行,从而获取用户的隐私信息。随着网页木马破坏性的增大,人们对网页木马的重视程度也在逐渐增加。 1网页木马简介 1.1网页木马的定义 网页木马是在宏病毒、木马等恶意代码基础上发展出来的一种新形态的恶意代码.类似于宏病毒通过Word 等文档中的恶意宏命令实现攻击.网页木马一般通过HTML 页面中的一段恶意脚本达到在客户端下载、执行恶意可执行文件的目的,而整个攻击流程是一个“特洛伊木马式”的隐蔽的、用户无察觉的过程,因此,国内研究者通常称该种攻击方式为“网页木马”. 目前,学术界对网页木马尚无一个明确的、统一的定义.Wiki 将它定义为一种用户不知情的下载,发生的场景可以是用户阅览邮件、访问网站页面以及点击一个欺诈性的弹出框时,等等,该定义属于字面解释,包括的内容比较宽泛,如利用社会工程学手段欺骗用户下载也属于其涵盖范围.此外,Wiki 还用Drive-by-Install 这一术语来表示下载并安装恶意程序的过程;Google 的Provos 等人将网页木马限定为客户端在访问页面时受到攻击并导致恶意可执行文件的自动下载、执行,该定义指出了“访问页面时受到攻击”和“自动下载、自动执行恶意可执行文件”两个关键点;UCSB 的Cova 等人进一步指出,网页木马是以一段JavaScript 代码作为攻击向量的一种客户端攻击方式,而实际上,还存在一些通过CSS 元素、VBScript 脚本发起攻击的网页木马。 综上所述,网页木马定义为:一种以JavaScript,VBScript,CSS 等页面元素作为攻击向量,利用浏览器及插件中的漏洞,在客户端隐蔽地下载并执行恶意程序的基于Web 的客户端攻击。 1.2网页木马的攻击流程 网页木马采用一种被动攻击模式(即pull-based 模式):攻击者针对浏览器及插件的某个特定漏洞构造、部署好攻击页面之后,并不像发送垃圾邮件那样主动将内容推送给受害用户(即push-based 模式),而是被动地等待客户端发起的页面访问请求.其典型攻击流程如图 1 所示:1. 客户端访问攻击页面;2. 服务器做出响应,将页面内容返回给客户端;3. 页面被浏览器加载、渲染,页面中包含的攻击向量在浏览器中被执行并尝试进行漏洞利用;4,5. 存在该漏洞的客户端被攻破,进而下载、安装、执行恶意程序。
ELK日志分析系统
ELK日志分析系统 一、ELK日志分析系统介绍 1.1传统的日志统计及分析方式 日志主要包括系统日志、应用程序日志和安全日志。系统运维和开发人员可以通过日志了解服务器软硬件信息、检查配置过程中的错误及错误发生的原因。经常分析日志可以了解服务器的负荷,性能安全性,从而及时采取措施纠正错误。 通常,日志被分散的储存不同的设备上。如果你管理数十上百台服务器,你还在使用依次登录每台机器的传统方法查阅日志。这样是不是感觉很繁琐和效率低下。当务之急我们使用集中化的日志管理,例如:开源的syslog,将所有服务器上的日志收集汇总。 集中化管理日志后,日志的统计和检索又成为一件比较麻烦的事情,一般我们使用grep、awk和wc等Linux命令能实现检索和统计,但是对于要求更高的查询、排序和统计等要求和庞大的机器数量依然使用这样的方法难免有点力不从心。 1.2 ELK介绍 开源实时日志分析ELK平台能够完美的解决我们上述的问题,ELK由ElasticSearch、Logstash和Kiabana三个开源工具组成。 (1)、Elasticsearch是个开源分布式搜索引擎,它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动搜索负载等。 (2)、Logstash是一个完全开源的工具,可以对日志进行收集、过滤,并将其存储供以后使用(如:搜索)。 (3)、Kibana 也是一个开源和免费的可视化工具,可以为Logstash 和ElasticSearch 提供的日志分析友好的Web 界面,可以帮助汇总、分析和搜索重要数据日志。 1.2.1 Elasticsearch介绍 Elasticsearch是一个基于Apache Lucene(TM)的开源搜索引擎,Lucene是当前行业内最先进、性能最好的、功能最全的搜索引擎库。但Lucene只是一个库。无法直接使用,必须使用Java作为开发语言并将其直接集成到应用中才可以使用,而且Lucene非常复杂,需要提前深入了解检索的相关知识才能理解它是如何工作的。 Elasticsearch也使用Java开发并使用Lucene作为其核心来实现所有索引和搜索的功能,但是它的目的是通过简单的RESTful API来隐藏Lucene的复杂性,从而让全文搜索变得简单。 但Elasticsearch不仅仅值是Lucene库和全文搜索,它还有以下用途: ?分布式的实时文件存储,每个字段都被索引并可被搜索 ?分布式的实时分析搜索引擎 ?可以扩展到上百台服务器,处理PB级结构化或非结构化数据
最新Web应用安全测试方案
精品文档 1 Web安全测试技术方案 1.1 测试的目标更好的发现当前系统存在的可能的安全隐患,避免发生危害性的安全事件更好的为今 后系统建设提供指导和有价值的意见及建议 1.2 测试的范围 本期测试服务范围包含如下各个系统: Web系统: 1.3 测试的内容 1.3.1 WEB^ 用 针对网站及WEB系统的安全测试,我们将进行以下方面的测试: Web 服务器安全漏洞 Web 服务器错误配置 SQL 注入 XSS (跨站脚本) CRLF 注入 目录遍历 文件包含 输入验证 认证 逻辑错误 Google Hacking 密码保护区域猜测字典攻击特定的错误页面检测脆弱权限的目录危险的HTTP 方法(如:PUT、DELETE) 1.4 测试的流程 方案制定部分: 精品文档 获取到客户的书面授权许可后,才进行安全测试的实施。并且将实施范围、方法、时间、人员等具体的方案与客户进行交流,并得到客户的认同。 在测试实施之前,让客户对安全测试过程和风险知晓,使随后的正式测试流程都在客户的控制下。 信息收集部分:
这包括:操作系统类型指纹收集;网络拓扑结构分析;端口扫描和目标系统提供的服务识别等。采用商业和开源的检测工具(AWVS burpsuite、Nmap等)进行收集。 测试实施部分: 在规避防火墙、入侵检测、防毒软件等安全产品监控的条件下进行:操作系统可检测到的漏洞测试、应用系统检测到的漏洞测试(如:Web应用),此阶段如果成功的话,可能获得普通权限。 安全测试人员可能用到的测试手段有:扫描分析、溢出测试、口令爆破、社会工程学、客户端攻击、中间人攻击等,用于测试人员顺利完成工程。在获取到普通权限后,尝试由普通权限提升为管理员权限,获得对系统的完全控制权。此过程将循环进行,直到测试完成。最后由安全测试人员清除中间数据。 分析报告输出: 安全测试人员根据测试的过程结果编写直观的安全测试服务报告。内容包括:具体的操作步骤描述;响应分析以及最后的安全修复建议。 下图是更为详细的步骤拆分示意图: 精品文档 1.5 测试的手段 根据安全测试的实际需求,采取自动化测试与人工检测与审核相结合的方式,大大的减少了自动化测试过程中的误报问题。
Windows日志文件全解读
一、什么是日志文件 日志文件是Windows系统中一个比较特殊的文件,它记录着Windows系统中所发生的一切,如各种系统服务的启动、运行、关闭等信息。Windows日志包括应用程序、安全、系统等几个部分,它的存放路径是“%systemroot%system32config”,应用程序日志、安全日志和系统日志对应的文件名为AppEvent.evt、SecEvent.evt和SysEvent.evt。这些文件受到“Event Log(事件记录)”服务的保护不能被删除,但可以被清空。 二、如何查看日志文件 在Windows系统中查看日志文件很简单。点击“开始→设置→控制面板→管理工具→事件查看器”,在事件查看器窗口左栏中列出本机包含的日志类型,如应用程序、安全、系统等。查看某个日志记录也很简单,在左栏中选中某个类型的日志,如应用程序,接着在右栏中列出该类型日志的所有记录,双击其中某个记录,弹出“事件属性”对话框,显示出该记录的详细信息,这样我们就能准确的掌握系统中到底发生了什么事情,是否影响Windows的正常运行,一旦出现问题,即时查找排除。 三、Windows日志文件的保护 日志文件对我们如此重要,因此不能忽视对它的保护,防止发生某些“不法之徒”将日志文件清洗一空的情况。 1. 修改日志文件存放目录 Windows日志文件默认路径是“%systemroot%system32config”,我们可以通过修改注册表来改变它的存储目录,来增强对日志的保护。 点击“开始→运行”,在对话框中输入“Regedit”,回车后弹出注册表编辑器,依次展开“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后,下面的Application、Security、System几个子项分别对应应用程序日志、安全日志、系统日志。 笔者以应用程序日志为例,将其转移到“d:\cce”目录下。选中Application子项
基于Windows日志的安全审计技术研究
收稿日期:2008208220 基金项目:山东省自然科学基金(Y 2006G 20) 作者简介:宁兴旺(1984-),男,硕士研究生,主要研究方向为网络信息安全。 文章编号:100224026(2009)0120040206基于Windows 日志的安全审计技术研究 宁兴旺,刘培玉,孔祥霞 (山东师范大学信息科学与工程学院,山东济南250014) 摘要:事件日志记录着操作系统或应用程序中重要的事件。通过对日志进行分析,发现所需事件信息和规律 是安全审计的根本目的。文章讨论了对Windows 系统日志文件进行集中式统一管理,采用API 钩子技术实现 Windows 下的审计数据的获取,并通过对Windows 日志的分析给出了一种基于主机日志分析的安全审计通用 模型。 关键词:主机日志;安全审计;计算机安全 中图分类号:TP393 文献标识码:A R esearch on Windows Log B ased Security Audit Technology Ning X ing 2wang ,LI U Pei 2yu ,K ONG X iang 2xia (School o f Information Science and Engineering ,Shandong Normal Univer sity ,Jinan 250014,China ) Abstract :An event log records s ome im portant events of an operating system or an application procedure. It is the primary purpose of a security audit to discover the required information and rules of an event by the analysis of a log.This paper discusses the central and global managment of windows system log files , em ploys such a techanology as API hook to acquire the audit data of windows system ,and presents a host log analysis based security audit universal m odel by the analysis of a windows log. K ey w ords :host log ;security audit ;com puter security 近几年来,随着开放系统Internet 的飞速发展和电子商务的日益普及,网络信息安全问题日益突出,各类黑客攻击事件更是层出不穷。而相应发展起来的安全防护措施也日益增多,特别是防火墙技术以及I DS (入侵检测技术)更是成为大家关注的焦点。但是这两者都有自己的局限性。在这种情况下,安全审计系统应运而生。安全审计系统作为一个完整安全框架中的一个必要环节,一般处在入侵检测系统之后,作为对防火墙系统和入侵检测系统的一个补充。 根据安全审计系统的一般要求[1],参照美国国家标准《可信计算机系统评估标准》 (T rusted C om puter System Evaluation Criteria ),安全审计可以理解为: 定义1:一个安全的系统中的安全审计系统,是对系统中任一或所有安全相关事件进行记录、分析和再现的处理系统。 衡量一个安全审计系统好坏的标准主要有以下几个方面: (1)采集信息是否全面、安全和有效:一个好的安全审计系统能够审计出问题来,它必定要有足够多的信息去审计才可以保证系统能审计出问题来。采集到的信息是否足够全面,并且原始(没有被破坏或篡改)、第22卷 第1期 2009年2月 山东科学SH ANDONG SCIE NCE V ol.22 N o.1Feb.2009
五种MySql日志分析工具比拼
mysql slow log 是用来记录执行时间较长(超过long_query_time秒)的sql的一种日志工具. 启用slow log 有两种启用方式: 1, 在https://www.360docs.net/doc/8211565484.html,f 里通过log-slow-queries[=file_name] 2, 在mysqld进程启动时,指定–log-slow-queries[=file_name]选项 比较的五款常用工具 mysqldumpslow, mysqlsla, myprofi, mysql-explain-slow-log, mysqllogfilter mysqldumpslow,mysql官方提供的慢查询日志分析工具. 输出图表如下: 主要功能是, 统计不同慢sql的 出现次数(Count), 执行最长时间(Time),
累计总耗费时间(Time), 等待锁的时间(Lock), 发送给客户端的行总数(Rows), 扫描的行总数(Rows), 用户以及sql语句本身(抽象了一下格式, 比如limit 1, 20 用limit N,N 表示). mysqlsla, https://www.360docs.net/doc/8211565484.html,推出的一款日志分析工具(该网站还维护了mysqlreport, mysqlidxchk 等比较实用的mysql工具) 整体来说, 功能非常强大. 数据报表,非常有利于分析慢查询的原因, 包括执行频率, 数据量, 查询消耗等.
格式说明如下: 总查询次数(queries total), 去重后的sql数量(unique) 输出报表的内容排序(sorted by) 最重大的慢sql统计信息, 包括平均执行时间, 等待锁时间, 结果行的总数, 扫描的行总数. Count, sql的执行次数及占总的slow log数量的百分比. Time, 执行时间, 包括总时间, 平均时间, 最小, 最大时间, 时间占到总慢sql时间的百分比. 95% of Time, 去除最快和最慢的sql, 覆盖率占95%的sql的执行时间. Lock Time, 等待锁的时间. 95% of Lock , 95%的慢sql等待锁时间. Rows sent, 结果行统计数量, 包括平均, 最小, 最大数量. Rows examined, 扫描的行数量. Database, 属于哪个数据库 Users, 哪个用户,IP, 占到所有用户执行的sql百分比 Query abstract, 抽象后的sql语句 Query sample, sql语句 除了以上的输出, 官方还提供了很多定制化参数, 是一款不可多得的好工具. mysql-explain-slow-log, 德国人写的一个perl脚本. http://www.willamowius.de/mysql-tools.html