0X00前言
昨天看群里有人问,应急的时候怎么对日志进行分析,
然后我推荐360星图,然后有了此文,本篇介绍日志分析常用工具和命令
0X01日志在哪里
首先我想到的是
容器(iis/Apache/nginx)日志,(mysql/mssql)数据库日志,还有系统日志,那么系统日志可以看下下面两篇。
http://jingyan.baidu.com/article/4b52d702ad08a8fc5c774b14.html 事件日志--事件查看器,window日志
https://www.cnblogs.com/songxingzhu/p/5304908.html MYSQL启用日志,和查看日志
这里以一台window2003服务器为例子,日志文件在
目录C:WindowsSystem32LogFiles下
如果你要通过iis管理器看
取到日志,我们开始用360星图进行分析了
使用方法
设置好日志路径
点击Start.bat之后
整个过程很简单
当然还有爱站工具包
0X02其他
有人说不想用上面那个,因为一下子就学会了,那个操作,不需要太多技术含量,因为应急的时候日志分析确实不想一下子给别人知道你用的什么,那就来点命令行的
Linux命令行下的几个操作
1、查找日志文件
#locate access_log
通常是这么用的,查找后缀为jsp的文件。
#locate *.jsp
2、查看日志中访问次数最多的前10个IP
#cat
/var/log/httpd/access_log |cut -d ' ' -f 1 |sort |uniq
-c | sort -nr | awk '{print $0 }' | head -n 10
3、查看最近访问量最高的文件
#cat /var/log/httpd/access_log |tail -10000|awk '{print $7}'|sort|uniq -c|sort -nr|less
4、查看传输时间超过 30 秒的文件
# cat /var/log/httpd/access_log |awk '($NF > 30){print $7}'|sort -n|uniq -c|sort -nr|head -20
还是觉得不够人性化,找了一下,我们找到了splunk,
右边点free splunk,然后注册,会给你两个地址,
上面我贴了一个win10的下载地址,然后安装,直到登陆界面
Admin, changeme,登进去第一件是就是改密码 然后再登陆,它有一个演示教程
更多实例,大家参考下官方实例每天500M这个限制很头疼
0X03拓展阅读
http://www.freebuf.com/articles/database/123006.html