web伺服器日誌

1、web日誌挖掘所用的web伺服器日誌文件都是如何獲得的？ 用沒有公用的數據集？謝謝！！！

有，http://www.sogou.com/labs/dl/q.html
http://blog.csdn.net/discxuwei/article/details/5769480

2、web伺服器被攻擊，從哪些日誌，或者現象可以看出來？

如果伺服器（網站）被入侵了,一般都是伺服器或者網站存在漏洞，被黑客利用並提權入侵的，導致伺服器中木馬，網站被掛黑鏈，被篡改，被掛馬。解決辦法：如果程序不是很大，可以自己比對以前程序的備份文件，然後就是修復，或者換個伺服器，最好是獨立伺服器。也可以通過安全公司來解決，國內也就Sinesafe和綠盟等安全公司 比較專業.

3、web伺服器事件日誌在哪裡看

默認啟用的W3C日誌，保存位置是C:\WINDOWS\system32\LogFiles

4、如何查看伺服器日誌進行網站分析？

工具/原料
網站伺服器、運行中網站
網站日誌分析工具、FTP工具
網站日誌查看流程
登錄虛擬主機的管理系統（本經驗以萬網為例），輸入主機的賬號以及密碼，登陸。操作如下所示：
登錄系統後台，找到"網站文件管理"中的"weblog日誌下載",並點擊。操作如下圖所示：
點擊"weblog日誌下載"，可以看到很多以"ex"+時間命名的壓縮文件可以下載。選擇所需要下載的網站日誌，點擊下載。操作如下所示：
登錄FTP工具，在根目錄下找到"wwwlogs"文件，下載所需的壓縮文件。注意：不同程序，日誌存放目錄不一樣。操作如下圖所示：
網上有很多日誌分析軟體，本經驗以"光年seo日誌分析系統"這款軟體為例子,點擊"新建分析任務"。操作如下圖所示：
在"任務導向"中，按照實際要求改任務名以及日誌類別。一般情況下可以不用修改。點擊系下一步，操作如下圖所示：
接著上一步，在"任務導向"中添加所需要分析的網站日誌（也就是本經驗第三步下載的文件），添加文件可以是一個或者多個。點擊系下一步，操作如下圖所示：
接著上一步，在"任務導向"中選擇報告保存目錄。點擊系下一步，操作如下圖所示：
完成之後，軟體會生成一件文件夾，包含一個"報告"網頁以及"files"文件，點擊"報告"網頁就可以查看網站日誌數據了。

5、如何保護Web伺服器中日誌安全？

Web日誌記錄了web伺服器接收處理請求，以及其運行時的錯誤等各種原始信息。通過對日誌進行統計、分析、綜合，就能有效地掌握伺服器的運行狀況，發現和排除錯誤、了解客戶訪問分布等，方便管理員更好地加強伺服器的維護和管理。另外，Web日誌也是判斷伺服器安全的一個重要依據，通過其可以分析判斷伺服器是否被入侵，並通過其可以對攻擊者進行反向跟蹤等。因此，對於Web日誌攻擊者往往以除之而後快。
一、攻擊者清除日誌的常用伎倆 1、Web伺服器系統中的日誌 以WindowsServer 2003平台的Web伺服器為例，其日誌包括：安全日誌、系統日誌、應用程序日誌、WWW日誌、FTP日誌等。對於前面的三類日誌可以通過「開始→運行」輸入eventvwr.msc打開事件查看器進行查看，WWW日誌和FTP日誌以log文件的形式存放在硬碟中。具體來說這些日誌對應的目錄和文件為： (1).安全日誌文件:C:WINDOWSsystem32configSecEvent.Evt (2).系統日誌文件:C:WINDOWSsystem32configSysEvent.Evt (3).應用程序日誌文件:C:WINDOWSsystem32configAppEvent.Evt (4).FTP日誌默認位置:C: (5).WWW日誌默認位置:C:、非法清除日誌 上述這些日誌在伺服器正常運行的時候是不能被刪除的，FTP和WWW日誌的刪除可以先把這2個服務停止掉，然後再刪除日誌文件，攻擊者一般不會這么做的。系統和應用程序的日誌是由守護服務Event Log支持的，而它是沒有辦法停止的，因而是不能直接刪除日誌文件的。攻擊者在拿下Web伺服器後，一般會採用工具進行日誌的清除，其使用的工具主要是CL和CleanIISLog。 (1).利用CL徹底清除日誌 這個工具可以徹底清除IIS日誌、FTP日誌、計劃任務日誌、系統日誌、安全日誌等，使用的操作非常簡單。 在命令下輸入「cl -logfiles 127.0.0.1」就可以清除Web伺服器與Web和FTP和計劃任務相關的日誌。其原理就是先把FTP、WWW、Task Scheler服務停止再刪除日誌，然後再啟動三個服務。(圖2)celialin 該工具還可以選擇性地清除相應的日誌，比如輸入「cl -eventlog All」就會清除Web伺服器中與系統相關的日誌。另外，此工具支持遠程清理，這是攻擊者經常採用的方法。首先他們通過命令「netuse ipipc$ 密碼/user:用戶名」在本地和伺服器建立了管理員許可權的IPC管理連接，然後用「CL -LogFile IP」命令遠程清理服務日誌。(圖3)
(2).利用CleanIISLog選擇性地清理IIS日誌 比如攻擊者通過Web注入方式拿下伺服器，這樣他的入侵痕跡(IP地址)都留在了IIS日誌里。他們利用該工具只把其在IIS日誌中的IP地址進行清除，這樣就不會讓對方管理員起疑心。 在命令中執行「CleanIISLog . IP」就可以清除IIS日誌中有關該IP的連接記錄同時保留其它IP記錄。如果管理做了防範，比如更改了IIS日誌的路徑，攻擊者在確定了日誌的路徑後，也可以通過該工具進行清除，其操作是，在命令行下執行「CleanIISLog IIS日誌路徑 IP地址」來清除指定IIS路徑的IP記錄。(圖4)二、打造日誌伺服器保護日誌 通過上面的演示可以看到，如果將伺服器的日誌保存在本地是非常不安全的。而且，如果企業中的伺服器非常多的話，查看日誌會非常麻煩。基於以上考慮，打造專門的日誌伺服器，即有利於伺服器日誌的備份又有利用於集中管理。 筆者的做法是，搭建一個FTP伺服器用來日誌的集中和備份，可以在伺服器中通過專門的工具或者計劃任務來實現日誌的自動上傳備份。這部分內容比較簡單，筆者就不演示了。其實不僅可以將伺服器日誌備份到專門的日誌伺服器上，日誌伺服器還可以實現網路設備的日誌備份。 以路由器為例，首先在其上進行設置，指定記錄日誌的伺服器，最後通過FTP協議將日誌數據傳輸到FTP伺服器上。搭建FTP伺服器可以利用IIS的FTP或者Serv-u，但是筆者覺得IIS的FTP在許可權分配上不夠方便，而Serv-u有漏洞太多，因此推薦TYPSoft FTP。 1、架設日誌伺服器 TYPSoft FTP是綠色軟體，下載解壓後雙擊ftpserv.exe文件，啟動typsoft fip主程序。啟動後，點擊主界面菜單中的「設定→用戶」，建立新賬戶log。接著在用戶界面中設置log賬號所對應的用戶密碼和日誌保存的目錄，最後點擊「保存」按鈕使設置生效，這樣日誌伺服器就架好了。(圖5)2、日誌伺服器的指定 當搭建好日誌伺服器後，只需要到相應的網路設置中通過SYSLOG或LOG命令指定要保存日誌的伺服器地址即可，同時加上設置好的賬戶名和密碼即可完成傳輸配置工作。下面筆者就以Cisco6509設備上配置及指定日誌伺服器為例。 正常登錄到設備上然後在全局配置模式下輸入logging 192.168.1.10，它的意思是在路由器上指定日誌伺服器地址為192.168.1.10。接著輸入logging trap，它的意思是設置日誌伺服器接收內容，並啟動日誌記錄。trap後面可以接參數0到7，不同級別對應不同的情況，可以根據實際情況進行選擇。如果直接使用logging trap進行記錄的話是記錄全部日誌。配置完畢後路由交換設備可以發送日誌信息，這樣在第一時間就能發現問題並解決。日誌伺服器的IP地址，只要是能在路由交換設備上ping通日誌伺服器的IP即可，不一定要局限在同一網段內。因為FTP屬於TCP/IP協議，它是可以跨越網段的。(圖6) 總結：本文從攻擊者的角度解析對Web日誌的刪除和修改，目的是讓大家重視伺服器日誌的保護。另外，搭建專門的日誌伺服器不僅可以實現對日誌的備份，同時也更利用對日誌的集中管理。

6、Web伺服器的訪問日誌怎麼看

iis的，可以用iis日誌查看工具。

7、如何查看Web伺服器日誌

利用Windows 2003伺服器的遠程維護功能，並通過IE瀏覽界面，就能對伺服器的日誌文件進行遠程查看了，不過默認狀態下，Windows 2003伺服器的遠程維護功能並沒有開通，需要手工啟動。

查看伺服器日誌文件的作用

網站伺服器日誌記錄了web伺服器接收處理請求以及運行時錯誤等各種原始信息。通 過對日誌進行統計、分析、綜合，就能有效地掌握伺服器的運行狀況，發現和排除錯誤原 因、了解客戶訪問分布等，更好的加強系統的維護和管理。

對於自己有伺服器的朋友或是有條件可以看到伺服器日誌文件的朋友來說，無疑是了 解搜索引擎工作原理和搜索引擎對網頁抓取頻率的最佳途徑。

通過這個文件，您可以了解什麼搜索引擎、什麼時間、抓取了哪些頁面，以及可以知 道是主搜索蜘蛛還是從搜索蜘蛛抓取了您的網站等的信息。

訪問原理

1、客戶端（瀏覽器）和Web伺服器建立TCP連接，連接建立以後，向Web伺服器發出 訪問請求（如：Get），根據HTTP協議該請求中包含了客戶端的IP地址、瀏覽器類型、 請求的URL等一系列信息。
2、Web伺服器收到請求後，將客戶端要求的頁面內容返回到客戶端。如果出現錯誤，那麼返回錯誤代碼。
3、伺服器端將訪問信息和錯誤信息紀錄到日誌文件里。

下面我們就對本公司自己伺服器其中的一個日誌文件進行分析。由於文件比較長，所以我們只拿出典型的幾種情況來說明。

#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2006-05-12 03:56:30
#Fields:
date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port
cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status
2006-05-12
03:56:30 三圓三圓三圓** 218.25.92.169 GET / - 80 - 220.181.18.98
Baispider+(+http://www.baidu.com/search/spider.htm) 403 14 5

/* 說明 */
上面定義了在2006年5月12日的3點56分30秒的時候，IP為220.181.18.98的百度蜘蛛通過80埠（HTTP）訪問了IP為218.25.92.169的伺服器的根目錄，但被拒絕。

#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2006-05-12 10:18:39
#Fields:
date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port
cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status
2006-05-12
10:33:36 三圓三圓三圓** 218.25.92.169 GET /***/index.htm - 80 - 10.2.57.6
Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
2006-05-12
10:33:36 三圓三圓三圓** 218.25.92.169 GET /***/***/***.gif - 80 - 10.2.57.6
Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0

/* 說明 */
上面定義了在2006年5月12日的10點33分36秒的時候，IP為10.2.57.6的用戶正常訪問了網站三圓三圓三圓**中***目錄下的index.htm頁和***/***下的***。gif圖片。

#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2006-05-12 13:17:46
#Fields:
date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port
cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status
2006-05-12
13:17:46 三圓三圓三圓** 218.25.92.169 GET /robots.txt - 80 - 66.249.66.72
Mozilla/5.0+(compatible;+Googlebot/2.1;++http://www.google.com/bot.html)
404 0 2
2006-05-12 13:17:46 三圓三圓三圓** 218.25.92.169 GET / - 80 -
66.249.66.72
Mozilla/5.0+(compatible;+Googlebot/2.1;++http://www.google.com/bot.html)
403 14 5

/* 說明 */
上面定義了在2006年5月12日的13點17分46秒的時候，IP為66.249.66.72的Google蜘蛛訪問了robots.txt文件，但沒有找到此文件，有訪問了此網站的根目 錄，但被拒絕。

現在也有很多日誌分析工具，如果您的伺服器流量很大的話，作者推薦使用分析工具來分析伺服器日誌。

8、如何獲取某個Web站點的伺服器日誌

自己有伺服器的先打開「Internet 信息服務」，選擇你的網站屬性，下面有「啟用日誌記錄」，一般有三個選項：W3C擴展日誌文件格式、Microsoft IIS 日誌文件格式、NCSA公用日誌文件格式，默認是:W3C擴展日誌文件格式，選擇右邊的屬性，下面有日誌文件名：(例 如：W3SCC1\ncyymmdd.log),日誌存放目錄一般是:C:\WINDOWS\system32\LogFiles，如果你要打開日誌文件 夾，那地址就是C:\WINDOWS\system32\LogFiles\W3SCC1。 如果用虛擬主機的可以到伺服器商的後台選擇日誌保存後用 FTP去下載，一般都放在log文件夾內。

9、我的WEB伺服器的日誌中有這種內容是什麼意思?

嗯，你的伺服器有人訪問時，系統會自動產生一些日誌文件，沒關系的

10、怎麼查看部署在linux系統上的web伺服器的日誌

敲命令啊 cd 文件夾名稱 回車 比如 cd opt 這樣進入目錄就行了