تحلیل لاگ IIS برای شناسایی حملات

نحوه کار با نرم افزار Log Parser Studio جهت آنالیز لاگ فایل های IIS برای اقداماتی مانند جلوگیری از حملات DDOS و هک (Brute force)
 
نرم افزار Log Parser Studio یک نرم افزار جهت آنالیز و بررسی Log فایل های IIS می باشد. در این نرم افزار شما می توانید با استفاده از Query های مورد نظرتان به خروجی دلخواه خود برسید و تغییرات امنیتی و ... خود را در وبسایت اعمال نمایید. جهت امکان استفاده از این نرم افزار نیاز است تا پیش نیاز هایی روی سیستم لوکال شما نصب گردد. ابتدا بایستی نرم افزار Log Parser 2.2 را روی سیستم خود نصب نمایید. از طریق این لینک این ابزار را نصب نمایید.
توجه نمایید در زمان نصب Log Parser 2.2 در صفحه Choose Setup Type گزینه Complete را انتخاب نمایید.
 
 
در صورتی که Microsoft .NET Framework 4.x روی سیستم شما نصب نیست، بایستی نصب آن انجام شود. برای نصب این ابزار از این لینک استفاده نمایید.
بعد از این که پیش نیاز های Log Parser Studio روی سیستم شما نصب شد، از طریق این لینک اقدام به دانلود این نرم افزار نمایید.
 
 
بعد از دانلود Log Parser Studio فایل Zip دانلود شده را Unzip نمایید و باز کنید.
در پوشه موجود محتوای زیر را خواهید دید:
 
 
روی فایل LPS.exe کلیک کنید تا نرم افزار باز شود.
 
برای دانلود فایل های log وبسایت خود بایستی ابتدا از طریق آدرس cp.yourdomain (بجای yourdomain نام دامنه را وارد نمایید) و وارد نمودن نام کاربری و کلمه عبور وارد کنترل پنل هاست خود شوید. سپس روی آیکون File Manager کلیک نمایید.
بعد از وارد شدن به File Manager پوشه ای با نام logs واقع در پوشه با نام وبسایت شما حاوی فایل های لاگ می باشد.
در فولدر logs پوشه یا پوشه هایی وجود دارند که در هر کدام از این پوشه ها فایل هایی با پسوند .log قرار دارد. با توجه به تاریخ مد نظر خود با کلیک بر روی فایل log مربوطه آن فایل را دانلود نمایید.
 
حال در نرم افزار Log Parser Studio روی دکمه Choose Log Files    کلیک نمایید.
 
 
فایل یا فایل های Log مورد نظر را انتخاب کنید و Check Mark کنار فایل ها را علامت دار نمایید.
 
 
بعد از این که فایل های لاگ را معرفی کردید نیاز است تا فیلترینگ مورد نظر خود را جهت تهیه خروجی در یک Query قرار دهید. برای این کار روی Create A New Query  کلیک نمایید تا یک Query جدید باز شود.
 
 
حال در قسمت پایین نرم افزار می توانید Query خود را وارد نمایید.
برخی از Query های متداول و پر استفاده به شرح زیر می باشد:
 
مرتب سازی IP بازدید کنندگان بر اساس تعداد بازدید (به همراه نمایش Reverse DNS مربوط به IP در صورت وجود):
 
SELECT c-ip As Machine
        REVERSEDNS(c-ip) As Name
        COUNT(*) As Hits 
 FROM c:\inetpub\logs\LogFiles\W3SVC1\* 
 GROUP BY Machine ORDER BY Hits DESC
 
  • از این دستور می توان برای مسدود سازی هکر ها و Attacker ها استفاده کرد.
 
تعداد 25 آدرس در وبسایت شما که بیشترین بازدید را داشته اند:
 
SELECT TOP 25 
    cs-uri-stem as Url
    COUNT(*) As Hits 
FROM c:\inetpub\logs\LogFiles\W3SVC1\* 
GROUP BY cs-uri-stem 
ORDER By Hits DESC
 
تعداد بازدید ها بر حسب ساعت در بازه زمانی مشخص شده:
 
SELECT 
    QUANTIZE(TO_LOCALTIME(TO_TIMESTAMP(date, time)), 3600) AS Hour,
    COUNT(*) AS Hits 
FROM c:\inetpub\logs\LogFiles\W3SVC1\* 
WHERE date>'2015-03-01' and date<'2015-04-01
Group By Hour
 
به عنوان مثال در این Query بازه زمانی 2015-03-01 تا 2015-04-01 منظور شده است.
 
نکته 1: توجه فرمایید که در خط FROM باید آدرس فایل لاگ مورد نظر را در سیستم لوکال وارد نمایید.
نکته 2: با توجه به این که از کدنویسی SQL در این نرم افزار استفاده میشود می توانید هر خروجی دلخواهی که مورد نیاز شماست را از این نرم افزار استخراج نمایید.
نکته 3: Format فایل های Log مربوط به IIS فرمت IISW3CLOG می باشد. قبل از تهیه خروجی حتما باید فرمت فایل تعیین شود. در تصویر زیر نحوه تنظیم آن نشان داده شده است.
 
 
بعد از تنظیم تمامی موارد اعلام شده در بالا روی دکمه  Execute Active Query  کلیک نمایید.
در صورتی که نیاز است تا نتیجه را ذخیره نمایید، می توانید با کلیک بر روی دکمه  Export  خروجی را بر حسب فرمت .csv ذخیره نمایید.