日志分析-awstats-7.5的安装使用
0x00 前言
在安全服务工程师的日常工作中,一般都会有日志分析这项工作的。因为在发现安全事件和入侵取证的时候都需要对Web日志进行分析,从中得到一些入侵者的攻击方式、攻击事件、时间等信息。在此我搭建awstats-7.5进行辅助日志分析。并且以windows Server2008为平台进行搭建。
0x01 下载与安装
# 因为linux平台会带有ruby的安装。所以在linux平台搭建该awstats-7.5是非常简单的,至于后面的文件配置和分析配置,windows/linux 平台的上操作方法是一致的,只是路基不同,至于linux平台的安装,可以参考官方文档(http://www.awstats.org/docs/index.html)
下载地址:https://sourceforge.net/projects/awstats/files/AWStats/7.5/
安装方法:
1 下载安装perl,下载地址l: http://www.activestate.com/activeperl/downloads
该安装包和普通的windows安装包一样,我们只需要记住该安装包的具体安装路径,例如我的安装路径是:C:\PentestBox\base\strawberry-perl\perl\
2 下载安装awstats:https://sourceforge.net/projects/awstats/files/AWStats/7.5/ #根据个人选择压缩包类型,例如我选择了“ awstats-7.5.zip”
3 解压该压缩包到:C:\xampp\htdocs\awstats-7.5 #其实就是网站的根目录,例如我网站的根目录为:C:\xampp\htdocs\
4 目录:C:\xampp\htdocs\awstats-7.5 ,该目录下有:REAREADME.md docs tools wwwroot
docs #该文件夹下有帮助文档,例如awstats.pdf、index.html(该文件可索引到其他HTML,我们可以直接在这里查看任何具体的配置信息。
tools #该文件夹下有各种扩展工具,例如awstats_updateall.pl 、maillogconvert.pl、 nginx、geoip_generator.pl等配置文件和工具拓展。
wwwroot #该文件夹下有各种资源配置文件,例如cgi-bin classes css icon js
REAREADME.md #该文件是一个整体概况文件,例如包含了版本、功能、安装环境、文件夹的结构目录、作者等等信息。
0x02 配置awstats
1 apache配置
###该种方法是在单独安装apache时使用,因为我使用的是xampp,在这所以这步骤可以省略
在目录”C:\xampp\apache\conf "下 找到文件" httpd.conf ",然后添加
#################################################################################
Alias /awstatsclasses "C:\xampp\htdocs\awstats-7.5\wwwroot\classes"
Alias /awstatscss "C:\xampp\htdocs\awstats-7.5\wwwroot\css"
Alias /awstatsicons "C:\xampp\htdocs\awstats-7.5\wwwroot\icon"
ScriptAlias /awstats/ "C:\xampp\htdocs\awstats-7.5\wwwroot\cgi-bin"
##########################################################################
<Directory "C:\xampp\htdocs\awstats-7.5\wwwroot">
Options None
AllowOverride None
Order allow
Allow from 127.0.0.1
2 awstats配置
在目录” C:\xampp\htdocs\awstats-7.5\wwwroot\cgi-bin " 下,找到文件" awstats.model.conf "复制该文件为新文件”awstats.localhost.conf "
打开文件" awstats.localhost.conf ",并进行如下操作:
#修改为web 服务器上具体的日志路径
搜索 LogFile="/var/log/httpd/mylog.log" ,然后更改为 LogFile="C:\xampp\apache\logs\access.log"
#命名我的网站为localhost,因为前面有个”awstats.localhost.conf "
搜索 SiteDomain="" ,然后更改为 SiteDomain="localhost"
搜索 AllowToUpdateStatsFromBrowser=0 ,然后更改为 AllowToUpdateStatsFromBrowser=1
搜索 SiteDomain="" ,然后更改为 SiteDomain="localhost"
搜索 Lang="auto" ,然后更改Lang="cn"
搜索 DirIcons="./icon" ,然后更改DirIcons="../icon"
在目录” C:\xampp\htdocs\awstats-7.5\wwwroot\cgi-bin " 下,找到文件" awstats.pl ",打开该文件
搜索 #!/usr/bin/perl ,然后更改为 #!C:\PentestBox\base\strawberry-perl\perl\bin\perl.exe
在目录” C:\xampp\htdocs\awstats-7.5\tools " 下,找到文件" logresolvemerge.pl ",打开该文件
搜索 #!/usr/bin/perl ,然后更改为 #!C:\PentestBox\base\strawberry-perl\perl\bin\perl.exe
0x03访问awstats
本地访问:http://localhost/awstats-7.5/wwwroot/cgi-bin/awstats.pl
异地访问:http://192.168.254.145/awstats-7.5/wwwroot/cgi-bin/awstats.pl?config=awstats.localhost.conf #192.168.254.145为部署awstats的主机IP地址,awstats.localhost.conf为配置文件。
0x04 安全配置
1 在目录” C:\xampp\htdocs\awstats-7.5\wwwroot\cgi-bin " 下,找到文件" awstats.model.conf "复制该文件为新文件”awstats.localhost.conf "
打开文件" awstats.localhost.conf ",并进行如下操作:
#只允许本地访问,防止外网非法访问。
搜索 AllowAccessFromWebToFollowingIPAddresses="" ,然后更改为 AllowAccessFromWebToFollowingIPAddresses="127.0.0.1"
2.1 在目录” C:\xampp\htdocs\awstats-7.5\ " 新建文件:.htaccess 【新建方式为:新建一个11.txt 文档-->>然后输入下来的内容-->>另存为:".htaccess"(文件名填写这个,并且是包括引号);当然还有其他各种方式,这个可以百度出来的-关键词:如何在windows下创建一个.htaccess】
AuthType Basic
AuthName "awstats_admin"
require user awstats_admin
2.2 设置密码和账号
C:\xampp\htdocs\awstats-7.5
> htpasswd.exe -bB -c C:\xampp\htdocs\awstats-7.5\awstats_passwd awstats_admin ym2011 #htpasswd.exe -h 查看帮助信息
###
重启apache,这样以后每次访问awstats页面都要求输入正确的用户名(awstats_admin)和口令(ym2011)。
3 只允许本地访问
在目录” C:\xampp\htdocs\awstats-7.5\ " 新建文件:.htaccess 【新建方式为:新建一个11.txt 文档-->>然后输入下来的内容-->>另存为:".htaccess"(文件名填写这个,并且是包括引号);当然还有其他各种方式,这个可以百度出来的-关键词:如何在windows下创建一个.htaccess】
# Limit access to localhost
<Limit GET POST PUT>
order deny,allow
deny from all
allow from 127.0.0.1
</Limit>
欢迎大家分享更好的思路,热切期待^^_^^ !!!