“Log Parser”是现有的最有用的免费的Web服务工具之一。它使用SQL式的查询方式分析Web服务器记录文件,然后返回一个报告,显示记录中与查询相匹配的所有的内容。你可以使用Log Parser创建一个搜索查询,查找试图攻击你的Web服务器和执行恶意代码的程序留下的签名。 如果你担心你的系统被黑,定期使用Log Parser进行检测能够帮助你了解正在发生什么类型的攻击以及这些攻击来自于什么地方。
同使用通用的字符串搜索工具(如UNIX grep指令)相比,使用Log Parser做这种搜索有以下几个优势: 1.这个程序使用标准的SQL查询。如果你已经熟悉SQL,你可以利用对这……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
“Log Parser”是现有的最有用的免费的Web服务工具之一。它使用SQL式的查询方式分析Web服务器记录文件,然后返回一个报告,显示记录中与查询相匹配的所有的内容。你可以使用Log Parser创建一个搜索查询,查找试图攻击你的Web服务器和执行恶意代码的程序留下的签名。
如果你担心你的系统被黑,定期使用Log Parser进行检测能够帮助你了解正在发生什么类型的攻击以及这些攻击来自于什么地方。
同使用通用的字符串搜索工具(如UNIX grep指令)相比,使用Log Parser做这种搜索有以下几个优势:
1.这个程序使用标准的SQL查询。如果你已经熟悉SQL,你可以利用对这种语言现有的知识从这个程序中得到最好的结果。
2.你可以直接在记录中实施结构化的查询,这样你可以根据日期、时间和IP地址缩小查询的范围,而不必实施额外的过滤。
3.查询可存储为脚本文件,不定期地重复使用或者通过批处理文件或者VB shell脚本调用。
关于Log Parser工具的一个重要警告是它要求以一致的格式使用记录,包括栏目文件头。你需要恰当地指定使用哪一种格式。Log Parser支持大多数普通的类型(IIS、W3C、NCSA等等)。但是,服务器记录格式的各种类型的栏目定义是有很大区别的。这将影响你建立查询,因为你需要知道要分析哪一个栏目。
例如,如果你为你的记录使用标准的W3C格式,通过“CMD.EXE”命令寻找试图执行恶意代码的攻击的查询可能会查到如下的结果:select * from C:WINDOWSsystem32LogFilesW3SVC752518*.log where cs-uri-query like '%cmd.exe%'
当然,请注意,通向记录文件的确切路径每个系统都不一样。这个“cs-uri-query”栏目的名称将根据使用的记录类型而有所不同。这个程序自己的文件详细说明了对于各种记录来说哪一种栏目类型是合法的。
大多数攻击签名在实施普通的“GET”(获取)查询时是可以看到的。当你使用Log Parser等工具时,你会很容易发现这些攻击签名。需要查找的几个常见的签名是:
CMD.EXE
ROOT.EXE
AAAAAAAA / XXXXXXXX (used in many common buffer overflow exploits)
使用Log Parser做记录查询的另一个有用的功能是“iCheckpoint”功能。这项功能允许Log Parser“收藏”一个指定的记录文件,这样,当下一次运行Log Parser程序时,这个程序将接着上一次的工作继续进行分析,而不是一切都从头开始。要用一个特定的脚本使用iCheckpoint,调用Log Parser程序的命令行使用如下参数:-iCheckPoint:.lpc
checkpoint文件用来保存使用Log Parser分析的每一个文件的状态,因此你在指定的系统中可以使用同样checkpoint文件。如果你每个星期运行一次Log Parser程序,或者每一天运行一次这个程序,这个功能可以节省很多时间。
作者
Serdar Yegulalp从1994年到2001年为Windows杂志写作,覆盖了广泛的技术方面。他现在是《The Windows 2000 Power Users Newsletter》一书的出版者,辛勤钻研他擅长的Windows NT, Windows 2000 and Windows XP领域,并为TechTarget写专栏。