1. 首页
  2. 网络安全工具

logC日志分析工具

简介

信息安全工作场景很多,这里针对个人的一个工作场景自制一个日志分析工具
在应急响应的时候如何从大量web日志中寻找和提取有用信息是我工作中所遇到的一个痛点。学习众多道友分享的文章后自己也做了一些总结,整理后编写了一个日志检测和信息提取的工具 logC ,下面将对web日志分析和该工具的使用分享自己的一些心得和方法。

web日志

日志有很多,接触最平凡的莫过于web日志。web日志主要出自nginx、IIS、tomcat、apache、weblogic等等(容器)中间件。每种中间件都支持自定义日志输出,大部分都是使用默认配置进行输出,所以这些中间件吐出的日志都很多共同信息,从安全角度或应急的特殊环境再进一提取,对我们有用的信息就很容易选了。比如源IP、path、query、params、status、req_length、res_time、res_length、res_time等。
源IP -> 发出攻击行为的IP地址
path、query、params -> 攻击载荷、攻击行为、攻击特征
status、req_length、res_time、res_length、res_time -> 攻击是否成功的判断依据

工具输出

目前提供源IP、返回数据长度、返回状态码、访问次数

logC日志分析工具

如何分析

通过path、query、params匹配攻击特征,寻找攻击发起者的IP地址
通过攻击发起者的IP地址提取攻击者的所有日志信息,进一步确定攻击者的攻击行为
通过status、req_length、res_time、res_length、res_time的具体情况判断带有攻击载荷的请求是否被执行
验证攻击载荷是否成功执行,确定主机是否存在相关漏洞
以上是一种简单的日志分析步骤

使用说明

-f 指定日志所在文件夹,会遍历文件夹内所有文件,解析失败的文件会在会在控制台输出
-o 指定分析结果和提取日志存储的文件夹
-c 指定配置文件,配置文件中包含日志的解析规则,日期详细输出内容的字段,攻击特征的匹配规则。-c D 使用远程日志解析规则并同步到本地,默认保存为 LOGC_DEFAULT_CONFIG.json 。不加 -c 指定配置文件时默认使用本地 LOGC_DEFAULT_CONFIG.json 作为配置文件。
–targets 指定需要提取的攻击发起者IP,使用该参数时会忽略解析规则。

下载地址

赞助后可查看隐藏内容『开通权限

“>

文章来源:【安全时代】 原文链接:https://www.agesec.com/tool/6416.html

安全时代全部内容仅适用于网络安全技术爱好者学习研究,学习中请遵循国家相关法律法规。

安全时代全部数据来源互联网,不代表安全时代立场,如侵犯您权益可邮箱联系我们,详情:版权纠纷

发表评论

电子邮件地址不会被公开。 必填项已用*标注