web日誌伺服器_如何查看Web伺服器日誌

『壹』 web伺服器日誌和應用伺服器日誌的區別

web伺服器日誌是應用伺服器日誌的一個子集

『貳』如何獲取某個Web站點的伺服器日誌

自己有伺服器的先打開「Internet 信息服務」，選擇你的網站屬性，下面有「啟用日誌記錄」，一般有三個選項：W3C擴展日誌文件格式、Microsoft IIS 日誌文件格式、NCSA公用日誌文件格式，默認是:W3C擴展日誌文件格式，選擇右邊的屬性，下面有日誌文件名：(例如：W3SCC1\ncyymmdd.log),日誌存放目錄一般是:C:\WINDOWS\system32\LogFiles，如果你要打開日誌文件夾，那地址就是C:\WINDOWS\system32\LogFiles\W3SCC1。如果用虛擬主機的可以到伺服器商的後台選擇日誌保存後用 FTP去下載，一般都放在log文件夾內。

『叄』如何保護日誌伺服器安全麻煩告訴我

『肆』應用web伺服器系統的4.3 系統運行日誌

海蜘蛛EWP系統記錄了Web管理登錄日誌、系統運行日誌、系統初始化日誌和當前內核日誌。並且能方便進行查詢或將日誌轉發到另一伺服器中。

『伍』 web伺服器工作日誌文件格式

摘要親~您好！我是北虹老師：您的問題我已幫您整理好資料：【WEB日誌格式

『陸』 web日誌挖掘所用的web伺服器日誌文件都是如何獲得的用沒有公用的數據集謝謝！！！

有，http://www.sogou.com/labs/dl/q.html
http://blog.csdn.net/discxuwei/article/details/5769480

『柒』如何查看Web伺服器日誌

這些日誌信息對計算機犯罪調查人員非常有用。
所謂日誌是指系統所指定對象的某些操作和其操作結果按時間有序的集合。每個日誌文件由日誌記錄組成．每條日誌記錄描述了一次單獨的系統事件。通常情況下，系統日誌
是用戶可以直接閱讀的文本文件，其中包含了一個時間戳和一個信息或者子系統所特有的其他信息。日誌文件為伺服器、工作站、防火牆和應用軟體等IT資源相關活動記錄必要的、有價值的信息，這對系統監控、查詢、報表和安全審汁是十分重要的。日誌文件中的記錄可提供以下用途：監控系統資源，審汁用戶行為，對可疑行為進行報警，確定入侵行為的范圍，為恢復系統提供幫助，生成調查報告，為打擊計算機犯罪提供證據來源。
在windows操作系統中有一位系統運行狀況的忠實記錄者，它可以詳細記錄計算機從開機、運行到關機過程中發生的每一個事件，它就是「事件查看器」。用戶可以利用這個系統維護工具，收集有關硬體、軟體、系統問題方面的信息，並監視系統安全事件，將系統和其他應用程序運行中的錯誤或警告事件記錄下來，便於診斷和糾正系統發生的錯誤和問題。
可以雙擊「控制面板」中「管理工具」中的「事件查看器」，打開事件查看器窗口

『捌』 web伺服器日誌

不好意思，沒這技術

『玖』如何保護Web伺服器中日誌安全

Web日誌記錄了web伺服器接收處理請求，以及其運行時的錯誤等各種原始信息。通過對日誌進行統計、分析、綜合，就能有效地掌握伺服器的運行狀況，發現和排除錯誤、了解客戶訪問分布等，方便管理員更好地加強伺服器的維護和管理。另外，Web日誌也是判斷伺服器安全的一個重要依據，通過其可以分析判斷伺服器是否被入侵，並通過其可以對攻擊者進行反向跟蹤等。因此，對於Web日誌攻擊者往往以除之而後快。
一、攻擊者清除日誌的常用伎倆 1、Web伺服器系統中的日誌以WindowsServer 2003平台的Web伺服器為例，其日誌包括：安全日誌、系統日誌、應用程序日誌、WWW日誌、FTP日誌等。對於前面的三類日誌可以通過「開始→運行」輸入eventvwr.msc打開事件查看器進行查看，WWW日誌和FTP日誌以log文件的形式存放在硬碟中。具體來說這些日誌對應的目錄和文件為： (1).安全日誌文件:C:WINDOWSsystem32configSecEvent.Evt (2).系統日誌文件:C:WINDOWSsystem32configSysEvent.Evt (3).應用程序日誌文件:C:WINDOWSsystem32configAppEvent.Evt (4).FTP日誌默認位置:C: (5).WWW日誌默認位置:C:、非法清除日誌上述這些日誌在伺服器正常運行的時候是不能被刪除的，FTP和WWW日誌的刪除可以先把這2個服務停止掉，然後再刪除日誌文件，攻擊者一般不會這么做的。系統和應用程序的日誌是由守護服務Event Log支持的，而它是沒有辦法停止的，因而是不能直接刪除日誌文件的。攻擊者在拿下Web伺服器後，一般會採用工具進行日誌的清除，其使用的工具主要是CL和CleanIISLog。 (1).利用CL徹底清除日誌這個工具可以徹底清除IIS日誌、FTP日誌、計劃任務日誌、系統日誌、安全日誌等，使用的操作非常簡單。在命令下輸入「cl -logfiles 127.0.0.1」就可以清除Web伺服器與Web和FTP和計劃任務相關的日誌。其原理就是先把FTP、WWW、Task Scheler服務停止再刪除日誌，然後再啟動三個服務。(圖2)celialin 該工具還可以選擇性地清除相應的日誌，比如輸入「cl -eventlog All」就會清除Web伺服器中與系統相關的日誌。另外，此工具支持遠程清理，這是攻擊者經常採用的方法。首先他們通過命令「netuse ipipc$ 密碼/user:用戶名」在本地和伺服器建立了管理員許可權的IPC管理連接，然後用「CL -LogFile IP」命令遠程清理服務日誌。(圖3)
(2).利用CleanIISLog選擇性地清理IIS日誌比如攻擊者通過Web注入方式拿下伺服器，這樣他的入侵痕跡(IP地址)都留在了IIS日誌里。他們利用該工具只把其在IIS日誌中的IP地址進行清除，這樣就不會讓對方管理員起疑心。在命令中執行「CleanIISLog . IP」就可以清除IIS日誌中有關該IP的連接記錄同時保留其它IP記錄。如果管理做了防範，比如更改了IIS日誌的路徑，攻擊者在確定了日誌的路徑後，也可以通過該工具進行清除，其操作是，在命令行下執行「CleanIISLog IIS日誌路徑 IP地址」來清除指定IIS路徑的IP記錄。(圖4)二、打造日誌伺服器保護日誌通過上面的演示可以看到，如果將伺服器的日誌保存在本地是非常不安全的。而且，如果企業中的伺服器非常多的話，查看日誌會非常麻煩。基於以上考慮，打造專門的日誌伺服器，即有利於伺服器日誌的備份又有利用於集中管理。筆者的做法是，搭建一個FTP伺服器用來日誌的集中和備份，可以在伺服器中通過專門的工具或者計劃任務來實現日誌的自動上傳備份。這部分內容比較簡單，筆者就不演示了。其實不僅可以將伺服器日誌備份到專門的日誌伺服器上，日誌伺服器還可以實現網路設備的日誌備份。以路由器為例，首先在其上進行設置，指定記錄日誌的伺服器，最後通過FTP協議將日誌數據傳輸到FTP伺服器上。搭建FTP伺服器可以利用IIS的FTP或者Serv-u，但是筆者覺得IIS的FTP在許可權分配上不夠方便，而Serv-u有漏洞太多，因此推薦TYPSoft FTP。 1、架設日誌伺服器 TYPSoft FTP是綠色軟體，下載解壓後雙擊ftpserv.exe文件，啟動typsoft fip主程序。啟動後，點擊主界面菜單中的「設定→用戶」，建立新賬戶log。接著在用戶界面中設置log賬號所對應的用戶密碼和日誌保存的目錄，最後點擊「保存」按鈕使設置生效，這樣日誌伺服器就架好了。(圖5)2、日誌伺服器的指定當搭建好日誌伺服器後，只需要到相應的網路設置中通過SYSLOG或LOG命令指定要保存日誌的伺服器地址即可，同時加上設置好的賬戶名和密碼即可完成傳輸配置工作。下面筆者就以Cisco6509設備上配置及指定日誌伺服器為例。正常登錄到設備上然後在全局配置模式下輸入logging 192.168.1.10，它的意思是在路由器上指定日誌伺服器地址為192.168.1.10。接著輸入logging trap，它的意思是設置日誌伺服器接收內容，並啟動日誌記錄。trap後面可以接參數0到7，不同級別對應不同的情況，可以根據實際情況進行選擇。如果直接使用logging trap進行記錄的話是記錄全部日誌。配置完畢後路由交換設備可以發送日誌信息，這樣在第一時間就能發現問題並解決。日誌伺服器的IP地址，只要是能在路由交換設備上ping通日誌伺服器的IP即可，不一定要局限在同一網段內。因為FTP屬於TCP/IP協議，它是可以跨越網段的。(圖6) 總結：本文從攻擊者的角度解析對Web日誌的刪除和修改，目的是讓大家重視伺服器日誌的保護。另外，搭建專門的日誌伺服器不僅可以實現對日誌的備份，同時也更利用對日誌的集中管理。

web日誌伺服器

與web日誌伺服器相關的內容