日志审计-apache攻击日志分析

0x00前言

在我们部署Web应用中，往往会伴随着很多日志消息产生，例如iis、apache、nginx等Web容器往往会产生众多的日志消息。其中如果使用人工审阅这些消息，工作量实在太大了，另外还需要攥写日志分析报告和风险分析。故如果室纯粹人工完成这项工作，工作量实在非常大。

0x01 前期准备工作

我们可以用两种方式进行日志方式：一种是本地审计---即是直接把日志从服务器中复制到本地电脑；另外一种是异地审计---直接在服务器上分析。本地审计日志的过程比较简单，但是需要服务器管理员把日志文件复制过来，这些日志文件往往很大，几百M甚至是几G。 所以要求本地电脑的性能要非常好。异地审计，这种方式要求我们审计人员拥有管理权限，能够登录到目的服务器（至于登录方式、登录方式、登录后期处理这些事项，可以和网站负责人联系沟通，或者和项目经理沟通，这点非常重要。因为我们可能需要在服务器上安装软件或者复制文件，执行操作。得到授权是非常重要的。）

在这里，我重点描述在本地审计的工作流程。首先我们要明确Web容器的安装路径，或者说是明确Web日志的存放路径。这点我们后续需要用到。先说明一下日志审计的前期准备

1在config.ini文件中设置如下

 设置日志存放路径：log_file:C:\xampp\apache\logs\

cc_analysis:2
cc_concurrent_request:2000
cc_request_growth:0.5
cc_ip_rate:0.5

2 部署JRE环境

当我们完成这些基础准备后，然后点击start.bat 就可以进行日志分析了，当然我们也可以设置定时任务（这里，我们不建议设置定时任务，因为服务器产生日志和我们执行需要的日志文件是一样的，这样有冲突。所以建议单独进行，并且在单独审计日志时出现问题，可以及时解决。）在这里我们明确日志报告分为：安全分析报告 和常规分析报告。我们下面会就每种进行讲解说明。其中每个部分，我尽量贴图并且添加上一些额外的说明。

0x02 常规分析报告

 

 

0x03 安全分析报告

 

欢迎大家分享更好的思路，热切期待^^_^^ !!！