Windows应急响应和系统加固(8)—— Windows IIS日志提取和安全检查分析

windows iis日志提取和安全检查分析

一、iis日志介绍：

　　1.iis简介：

　　  iis全称internet information services，是由微软公司提供的基于运行microsoft windwos的互联网基本服务，iis是一种web（网页）服务组件，其中包括web服务器、ftp服务器、nntp服务器和smtp服务器，分别用于网页浏览、文

件传输、新闻服务和邮件发送等方面，它使得在网络（包括互联网和局域网）上发布信息成了一件很容易的事。

　　  iis可设置的内容包括：虚拟目录及访问权限、默认文件名称、目录浏览。

　　2.iis日志的路径：

　　　　server 2003，路径为：c:\windows\system32\logfiles；

　　　　server 2008/r2，路径为：c:\inetpub\logs\logfiles。

　　　　win10系统默认的iis服务是关闭的，如果需要开启服务，参考：

　　3.w3c扩展日志文件格式：

　　　　转自博客：

　　　　下面是一段常见的iis生产的w3c扩展web日志：

　　　　　　2011-09-01 16:02:22 get /enterprise/detail.asp 70.25.29.53 http:/ /www .example.com/searchout.asp 202 17735 369 4656

　　　　　　date time s-ip cs-method cs-uri-stem cs-uri-query s-port（#7） cs-username c-ip cs(user-agent) cs(cookie) cs(referer) cs-host sc-status sc-substatus sc-win32-status time-taken

　　　　这个日志可以解读为：ip是70.25.29.53，来自"http://www.example.com/searchout.asp"的访客，在2011-09-01 16:02:22，访问(get)了主机的/enterprise/detail.asp，访问成功，得到17735字节数据。

　　　　目前常见的web日志格式主要由两类，一类是apache的ncsa日志格式，另一类是iis的w3c日志格式。ncsa格式又分为ncsa普通日志格式 (clf)和ncsa扩展日志格式(eclf)两类，目前最常用的是ncsa扩展日志格式(eclf)及

　　　　基于自定义类型的apache日志格式;而w3c 扩展日志格式(exlf)具备了更为丰富的输出信息，主要是微软iis(internet information services)中应用。

　　　　日期：date 动作发生时的日期。

　　　　时间：time 动作发生时的时间(默认为utc标准)。

　　　　客户端ip地址：c-ip 访问服务器的客户端ip地址。

　　　　用户名：cs-username 通过身份验证的访问服务器的用户名。不包括匿名用户(用‘-’表示)。

　　　　服务名：s-sitename 客户所访问的internet服务名以及实例号。

　　　　服务器名：s-computername 产生日志条目的服务器的名字。

　　　　服务器ip 地址：s-ip 产生日志条目的服务器的ip地址。

　　　　服务器端口：s-port 服务端提供服务的传输层端口。

　　　　方法：cs-method 客户端执行的行为(主要是get与post行为)。

　　　　uri stem：cs-uri-stem 被访问的资源，如default.asp等。

　　　　uri query：cs-uri-query 客户端提交的参数(包括get与post行为)。

　　　　协议状态：sc-status 用http或者ftp术语所描述的、行为执行后的返回状态。

　　　　win32状态：sc-win32-status 用microsoft windows的术语所描述的动作状态。

　　　　发送字节数：sc-bytes 服务端发送给客户端的字节数。

　　　　接受字节数：cs-bytes 服务端从客户端接收到的字节数。

　　　　花费时间：time-taken 执行此次行为所消耗的时间，以毫秒为单位。

　　　　协议版本：cs-version 客户端所用的协议(http、ftp)版本。对http协议来说是http 1.0或者http 1.1。

　　　　主机：cs-host 客户端的http报头(host header)信息。

　　　　用户代理：cs(user-agent) 客户端所用的浏览器版本信息。

　　　　cookie：cs(cookie) 发送或者接受到的cookie内容。

　　　　referrer：cs(referer) 用户浏览的前一个网址，当前网址是从该网址链接过来的。

　　　　协议底层状态：sc-substatus 协议底层状态的一些错误信息。

二、使用splunk大数据引擎分析iis日志(win10虚拟机为例)：

　　1.步骤：

　　　　打开虚拟机dos指令输入“net start splunkd”打开splunk服务，稍等几秒(打开默认端口为8080)——输入用户名密码即可登录splinkd界面，如图(登录界面)：

　　2.搜索、处理iis日志数据的命令：

　　　　source="oa_pc_iis_logs.log" host="oa_pc_iis_logs" index="main" sourcetype="iis"

　　3.统计所搜索的数据(可提供可视化的百分比显示)

　　　　source="oa_pc_iis_logs.log" host="oa_pc_iis_logs" index="main" sourcetype="iis" | stats count by sc_status | sort - count

　　4.夸张脚本攻击/尝试指令：

　　　　source="security_edu_u_ex2014_1.log" host="security_edu_u_ex2014_1" index="main" sourcetype="iis" "alert" sc_status=200

　　5.访问网页的异常情况：

　　　　source="security_edu_u_ex2014_1.log" host="security_edu_u_ex2014_1" index="main" sourcetype="iis" sc_status=200 cs_method=get orcs_method=post cs_uri_stem=*.aspx| stats count by cs_uri_stem | sort by count