单机日志分析工具:logC

logC简介

信息安全工作场景很多,这里针对个人的一个工作场景自制一个日志分析工具。
在应急响应的时候如何从大量web日志中寻找和提取有用信息是我工作中所遇到的一个痛点。学习众多道友分享的文章后自己也做了一些总结,整理后编写了一个日志检测和信息提取的工具 logC ,下面将对web日志分析和该工具的使用分享自己的一些心得和方法。该工具也可用于取证分析

web日志

日志有很多,接触最平凡的莫过于web日志。web日志主要出自nginx、IIS、tomcat、apache、weblogic等等(容器)中间件。每种中间件都支持自定义日志输出,大部分都是使用默认配置进行输出,所以这些中间件吐出的日志都很多共同信息,从安全角度或应急的特殊环境再进一提取,对我们有用的信息就很容易选了。比如源IP、path、query、params、status、req_length、res_time、res_length、res_time等。
源IP -> 发出攻击行为的IP地址
path、query、params -> 攻击载荷、攻击行为、攻击特征
status、req_length、res_time、res_length、res_time -> 攻击是否成功的判断依据

如何分析

  1. 通过path、query、params匹配攻击特征,寻找攻击发起者的IP地址
  2. 通过攻击发起者的IP地址提取攻击者的所有日志信息,进一步确定攻击者的攻击行为
  3. 通过status、req_length、res_time、res_length、res_time的具体情况判断带有攻击载荷的请求是否被执行
  4. 验证攻击载荷是否成功执行,确定主机是否存在相关漏洞
    以上是一种简单的日志分析步骤

工具使用说明

单机日志分析工具:logC
  • -f 指定日志所在文件夹,会遍历文件夹内所有文件,解析失败的文件会在会在控制台输出
  • -o 指定分析结果和提取日志存储的文件夹
  • -c 指定配置文件,配置文件中包含日志的解析规则,日期详细输出内容的字段,攻击特征的匹配规则。-c D 使用远程日志解析规则并同步到本地,默认保存为 LOGC_DEFAULT_CONFIG.json 。不加 -c 指定配置文件时默认使用本地 LOGC_DEFAULT_CONFIG.json 作为配置文件。
  • --targets 指定需要提取的攻击发起者IP,使用该参数时会忽略解析规则。

工具输出

目前提供源IP、返回数据长度、返回状态码、访问次数这4个参数的图形展示。

单机日志分析工具:logC

点击图表上的IP地址可显示当前IP地址访问的详细日志统计。

单机日志分析工具:logC

跟详细的日志可以通过输出文件夹中的日志文件进行查看。

单机日志分析工具:logC

下载

作者:chris。工具下载地址:https://pan.baidu.com/s/1YPU_1tujStp69Z9g51AN9g