Apache, Nginx, análisis de registro de registro IIS y explicación detallada

Apache, Nginx, análisis de registro de IIS

、 、 Apache

1.1. Plataforma Windows Server 2008 R2

1.1.1. Ubicación del registro y configuración

(1) Después de iniciar Apache, Apache generará automáticamente dos archivos de registro, que son el registro de acceso access.log y el registro de error error.log

(2) Podemos configurar el formato de registro de acceso de Apache en el archivo de configuración de Apache httpd.conf.

#下面两句定义不同模式下的日志记录格式
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
LogFormat "%h %l %u %t \"%r\" %>s %b" common
#下面一句定义日志文件存储位置以及采用的记录格式
CustomLog "logs/access.log" common

Explicación

Hay dos formatos principales de registro en Apache, común y combinado: el tipo común se utiliza para registrar la información de acceso de forma predeterminada durante la instalación.

1.1.2 Análisis

(1) El siguiente es un registro de registro estándar en el formato de registro común

192.168.2.184 - - [20/Apr/2020:17:17:18 +0800] "GET /pikachu-master HTTP/1.1" 301 247

El análisis es el siguiente:

Valor del campo	Nombre del campo	Significado
192.168.2.184	IP del cliente	Acceda a la IP del servidor
-
-	Nombre de inicio de sesión	El nombre proporcionado cuando el cliente accede a la verificación del servicio (en caso de anonimato)
[20 / Abr / 2020: 17: 17: 18 +0800]	Tiempo	La hora solicitada por el segmento de cliente ("+0800" indica que la zona horaria del servidor es de 8 horas después de UTC)
"GET / pikachu-master HTTP / 1.1"	Método + Recursos + Acuerdo	Método de solicitud del cliente, archivo de recursos solicitado, protocolo adoptado por el cliente
301	Código de estado	301 significa que la página solicitada se ha transferido a una nueva URL
247	Bytes	La longitud de bytes enviados por el servidor al cliente

(2) El siguiente es un registro de registro estándar en el formato de registro combinado

192.168.2.184 - - [20/Apr/2020:17:36:18 +0800] "GET /pikachu-master/ HTTP/1.1" 200 35392 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:75.0) Gecko/20100101 Firefox/75.0"

El análisis es el siguiente:

Valor del campo	Nombre del campo	Significado
...	...	...
"-"	Sitio de referencia	El sitio anterior visitado por el usuario. Este sitio proporciona un enlace al sitio actual.
"Mozilla / 5.0 (Windows NT 10.0; Win64; x64; rv: 75.0) Gecko / 20100101 Firefox / 75.0"	Información de identificación del navegador proporcionada por el navegador del cliente	Versión del kernel del navegador, versión del sistema operativo, versión del navegador

1.2 plataforma CentOS 7

1.2.1. Ubicación del registro

cat /var/log/httpd/access_log 查看Apache日志

1.2.2. Análisis

El siguiente es un registro

192.168.2.184 - - [11/Apr/2020:21:51:47 +0800] "GET /favicon.ico HTTP/1.1" 404 209 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:75.0) Gecko/20100101 Firefox/75.0"

La observación es exactamente la misma que en Windows, por lo que el análisis puede referirse a 1.1.2

Dos, Nginx

2.1. Plataforma Windows Server 2008 R2

2.1.1. Ubicación del registro

Podemos ver o cambiar la ubicación de almacenamiento del registro en el archivo de configuración

2.1.2 Análisis

El siguiente es un registro.

192.168.33.254 - - [20/Feb/2020:22:57:27 +0800] "POST /pikachu-master/vul/burteforce/bf_form.php HTTP/1.1" 200 4899 "http://192.168.33.254/pikachu-master/vul/burteforce/bf_form.php" "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:72.0) Gecko/20100101 Firefox/72.0"

Ver 2.2 para más detalles (igual que en Linux)

2.2 plataforma CentOS 7

2.2.1. Ubicación y configuración del registro

#日志位置
/var/log/nginx/access.log

#nginx配置文件位置
vim /etc/nginx/nginx.conf(可能有所不一样)

#配置文件中关于日志的字段（日志格式+日志存放位置）
log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

access_log  /var/log/nginx/access.log  main;

2.2.2. Análisis

El siguiente es un registro de Nginx:

192.168.2.184 - - [20/Apr/2020:17:59:09 +0800] "GET /index.html HTTP/1.1" 200 612 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:75.0) Gecko/20100101 Firefox/75.0" "-"

Análisis:

Valor del campo	Nombre del campo	Significado
192.168.2.184	$ remote_addr	Dirección IP del cliente (usuario)
- -	- $ remote_user	El nombre de usuario del cliente, el acceso anónimo es:
[20 / Abr / 2020: 17: 59: 09 +0800]	[$ time_local]	Tiempo de acceso
"OBTENER / index.html HTTP / 1.1"	"$ solicitud"	Método de solicitud y dirección de URI de recurso solicitada
200	$ estado	Código de estado (200 OK)
612	$ body_bytes_sent	Tamaño de página solicitado
"-"	"$ http_referer"	Página de origen, es decir, desde qué página ir a esta página
"Mozilla / 5.0 (Windows NT 10.0; Win64; x64; rv: 75.0) Gecko / 20100101 Firefox / 75.0"	"$ http_user_agent"	Información del navegador, información del sistema operativo
"-"	"$ http_x_forwards_for"	Obtenga la IP real, si no, se mostrará como-

3.2.3. Campos de registro personalizados

Si la información que queremos obtener no se registra, por ejemplo: el tiempo de procesamiento del servidor, etc. Luego podemos agregar el siguiente contenido en el archivo de configuración para obtener la información que queremos.

$request_time
#记录请求处理时间（以秒为单位，携带毫秒的解决方案），从读取客户端第一个字节开始算起，到发送最后一个字节给客户端的时间间隔

$upstream_response_time
#记录nginx从后端服务器(upstream server)获取响应的时间（以秒为单位，携带毫秒的解决方案），多个请求的时间以逗号分隔

$request_length
#记录请求长度(包括请求行，请求头，请求体)

$bytes_sent
#发送给客户端的字节数，不同于$body_bytes_sent（发送给客户端的响应体字节数）

Tres, IIS

3.1. Ubicación de los registros de registro de IIS 7 (Windows Server 2008 R2)

Además, podemos configurar los campos para que se registren en el registro a través del administrador del Servicio de información de Internet (IIS):

3.2 Análisis

Un registro de registro completo es el siguiente:

#Software: Microsoft Internet Information Services 7.5
#Version: 1.0
#Date: 2020-04-20 07:28:44
#Fields: date time s-sitename s-computername s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs-version cs(User-Agent) cs(Cookie) cs(Referer) cs-host sc-status sc-substatus sc-win32-status sc-bytes cs-bytes time-taken

2020-04-20 07:28:44 W3SVC4 FENGWENBO 192.168.2.254 GET /picnews.asp - 8004 - 192.168.2.184 HTTP/1.1 Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64;+rv:75.0)+Gecko/20100101+Firefox/75.0 zh_choose=n;+ASPSESSIONIDAQSBBTTA=FHLLDFKCKALEMJAPACIFLDLL http://192.168.2.254:8004/ 192.168.2.254:8004 200 0 0 731 500 327

El significado de cada campo es el siguiente:

Valor del campo	Nombre del campo	Significado
2020-04-20	Fecha	Fecha del evento
07:28:44 （+8）	Tiempo	Cuando tuvo lugar la actividad
W3SVC4	Nombre del servicio (s-sitename)	El número de servicios de Internet e instancias del sitio al que accede el cliente
FENGWENBO	Nombre del servidor (s-computername)	El nombre del servidor que generó la entrada de registro.
192.168.2.254	IP del servidor (s-ip)	La dirección IP del servidor que generó la entrada de registro
OBTENER	Método (método cs)	Operaciones realizadas por el cliente.
/picnews.asp	Página de acceso solicitada (cs-uri-stem)	Archivos de acceso del cliente
	Cadena de consulta de acceso (cs-uri-query)	La consulta que el cliente intenta ejecutar (nada en este momento, se muestra como-)
8004	Puerto del servidor (s-port)	El puerto donde el cliente se conecta al servidor.
-	Nombre de usuario del cliente (cs-username)	Inicio de sesión de usuario anónimo, que se muestra como-
192.168.2.184	IP del cliente (c-ip)	Dirección IP del cliente real para acceder al servidor
HTTP / 1.1	Versión del protocolo (versión cs)	El protocolo utilizado por el cliente.
Mozilla / 5.0 + (Windows + NT + 10.0; + Win64; + x64; + rv: 75.0) + Gecko / 20100101 + Firefox / 75.0	Agente de usuario (cs (User-Agent))	Navegador utilizado en el cliente
zh_choose=n; +ASPSESSION IDAQSBBTTA =FHLLDFKCK ALEMJAPACIFLDLL	cookie（cs(Cookie)）	发送或接收的 Cookie 的内容
http://192.168.2.254:8004/	引用站点（cs(Referer)）	用户访问的前一个站点。此站点提供到当前站点的链接。
192.168.2.254:8004	主机（cs-host）	显示主机头的内容
200	协议返回状态（sc-status）	以HTTP或FTP表示的操作的状态（200 OK）
0	HTTP子协议的状态（sc-substatus）
0	Win32® 状态（sc-win32-status）	用 Windows® 使用的术语表示的操作的状态
731	服务器发送的字节数（sc-bytes）	服务器发送的字节数。
500	服务器接受的字节数（cs-bytes）	服务器接收的字节数。
327	所用时间（time-taken）	操作花费的时间长短（亳秒）