【HW系列】—日志介绍
文章目录
- 一、日志介绍
- 二、Apache日志详解
- 1. 日志存放位置
- 2. 日志类型
- 3. 日志级别
- 4. 常用日志分析命令(Linux环境)
- 三、IIS日志详解
- 四、日志分析工具:360星图
一、日志介绍
- 为什么要使用日志
- 故障诊断:快速定位系统错误根源
- 安全审计:追踪异常访问、识别攻击行为(如恶意IP、暴力破解)
- 性能优化:分析请求响应时间、资源消耗瓶颈
- 合规要求:满足行业监管的数据留存规范
- 常见中间件
Apache、Nginx、IIS、Tomcat、WebLogic、JBoss - 中间件日志关键点
- 统一格式:确保日志字段标准化(如W3C格式)
- 级别控制:按需设置DEBUG/INFO/ERROR等级别,平衡信息量与存储
- 定期轮转:避免日志无限增长导致磁盘溢出
- 安全存储:防止篡改,敏感信息脱敏(如用户密码)
二、Apache日志详解
1. 日志存放位置
💡 路径可能因配置调整,需检查 httpd.conf 中的 CustomLog 和 ErrorLog 指令。
2. 日志类型
- 访问日志(access.log)
记录客户端请求,格式示例:
192.168.1.10 - - [20/Mar/2023:12:00:01 +0800] “GET /index.html HTTP/1.1” 200 423
字段含义:客户端IP、时间、请求方法、资源路径、HTTP状态码、响应字节数。 - 错误日志(error.log)
记录服务异常,如模块加载失败、权限错误,格式包含错误级别(如 [error])和详情。
3. 日志级别
通过 LogLevel 指令配置(从低到高):
debug → info → notice → warn → error → crit → alert → emerg
1.debug(调试)
描述:最详细的日志级别,记录所有调试信息(如配置文件加载、模块初始化细节)。
适用场景:开发环境深度排查问题,生产环境禁用(日志量极大,影响性能)。
2. info(信息)
描述:记录服务器运行状态、常规操作信息(如服务启动、资源分配)。
适用场景:监控系统运行趋势,非关键性事件记录。
3. notice(通知)
描述:记录普通但需关注的事件(如进程异常终止后重启)。
适用场景:运维监控,捕捉潜在异常行为。
4. warn(警告)
描述:非致命性异常,系统仍可运行(如子进程未正常退出)。
适用场景:默认生产环境级别,平衡信息量与可操作性。
5. error(错误)
描述:功能错误(如脚本执行失败、权限问题),影响部分请求处理。
适用场景:快速定位服务中断原因。
6. crit(严重)
描述:关键故障(如资源分配失败),可能导致服务不可用。
适用场景:紧急故障告警,需立即干预。
7. alert(警报)
描述:需立即处理的严重问题(如系统关键组件失效)。
适用场景:系统濒临崩溃前的告警。
8. emerg(紧急)
描述:系统不可用的最高级别错误(如主进程崩溃)。
适用场景:灾难性事件记录,通常伴随服务终止。
4. 常用日志分析命令(Linux环境)
1. 查看所有访问IP
awk '{print $1}' access.log | sort -n2. 显示访问量TOP 10 IP(定位攻击源)
awk '{print $1}' access.log | sort | uniq -c | sort -nr | head -103. 显示指定时间后的日志(如2023-03-20 12:00后)
awk -v d="20/Mar/2023:12:00:" '$4 > d' access.log4. 查看时间段内IP连接(如12:00-13:00)
awk -v s="20/Mar/2023:12:00:" -v e="20/Mar/2023:13:00:" '$4 >= s && $4 <= e' access.log | awk '{print $1}' | sort -u5. 追踪指定IP行为(如192.168.1.10)
grep '192.168.1.10' access.log6. 统计最近访问量最高文件
awk '{print $7}' access.log | sort | uniq -c | sort -nr | head -10
三、IIS日志详解
- 是什么
Internet Information Services(微软Web服务器)生成的访问与错误记录,默认采用 W3C扩展格式。 - 作用
- 分析用户访问路径、流量来源
- 检测HTTP状态码异常(如大量404或500错误)
- 识别爬虫行为和安全攻击(如SQL注入特征)
- 日志位置
- 默认路径:C:\Windows\System32\LogFiles\W3SVC1\(数字为站点ID)
- 自定义路径:通过IIS管理器 → 网站属性 → 日志设置修改。
四、日志分析工具:360星图
1. 下载地址
- GitHub备份:
https://github.com/mydnsvip/Public/raw/master/360星图网站日志分析.zip - Gitee镜像(国内推荐):
https://gitee.com/mydnsvip/mydnsvip/raw/master/360星图网站日志分析.zip
⚠️ 官方已停更,此为第三方存档版本。
2. 使用步骤
- 配置日志路径
编辑解压后的 /conf/config.ini,修改 log_file 为日志目录或文件(支持IIS/Apache/Nginx)。
log_file: E:\logs\access.log # 示例路径
- 运行分析
双击 start.bat,自动解析日志并生成报告。 - 查看结果
报告保存在 /result/ 目录,打开 .html 文件即可查看:- 攻击识别:SQL注入、XSS等Web攻击
- 异常访问:高频IP、恶意爬虫
- 流量统计:访问趋势、热门资源
更多日志配置细节可参考:
- Apache官方文档(httpd.conf参数)
- IIS日志管理策略