单机日志分析工具:logC
- 发表于
- 安全工具
logC简介
信息安全工作场景很多,这里针对个人的一个工作场景自制一个日志分析工具。
在应急响应的时候如何从大量web日志中寻找和提取有用信息是我工作中所遇到的一个痛点。学习众多道友分享的文章后自己也做了一些总结,整理后编写了一个日志检测和信息提取的工具 logC ,下面将对web日志分析和该工具的使用分享自己的一些心得和方法。该工具也可用于取证分析。
web日志
日志有很多,接触最平凡的莫过于web日志。web日志主要出自nginx、IIS、tomcat、apache、weblogic等等(容器)中间件。每种中间件都支持自定义日志输出,大部分都是使用默认配置进行输出,所以这些中间件吐出的日志都很多共同信息,从安全角度或应急的特殊环境再进一提取,对我们有用的信息就很容易选了。比如源IP、path、query、params、status、req_length、res_time、res_length、res_time等。
源IP -> 发出攻击行为的IP地址
path、query、params -> 攻击载荷、攻击行为、攻击特征
status、req_length、res_time、res_length、res_time -> 攻击是否成功的判断依据
如何分析
- 通过path、query、params匹配攻击特征,寻找攻击发起者的IP地址
- 通过攻击发起者的IP地址提取攻击者的所有日志信息,进一步确定攻击者的攻击行为
- 通过status、req_length、res_time、res_length、res_time的具体情况判断带有攻击载荷的请求是否被执行
- 验证攻击载荷是否成功执行,确定主机是否存在相关漏洞
以上是一种简单的日志分析步骤
工具使用说明
-f
指定日志所在文件夹,会遍历文件夹内所有文件,解析失败的文件会在会在控制台输出-o
指定分析结果和提取日志存储的文件夹-c
指定配置文件,配置文件中包含日志的解析规则,日期详细输出内容的字段,攻击特征的匹配规则。-c D 使用远程日志解析规则并同步到本地,默认保存为 LOGC_DEFAULT_CONFIG.json 。不加 -c 指定配置文件时默认使用本地 LOGC_DEFAULT_CONFIG.json 作为配置文件。--targets
指定需要提取的攻击发起者IP,使用该参数时会忽略解析规则。
工具输出
目前提供源IP、返回数据长度、返回状态码、访问次数这4个参数的图形展示。
点击图表上的IP地址可显示当前IP地址访问的详细日志统计。
跟详细的日志可以通过输出文件夹中的日志文件进行查看。
下载
作者:chris。工具下载地址:https://pan.baidu.com/s/1YPU_1tujStp69Z9g51AN9g
原文连接:单机日志分析工具:logC
所有媒体,可在保留署名、
原文连接
的情况下转载,若非则不得使用我方内容。