如何抓取網路層日誌

A. 如何分析網路日誌

A：檢查日期和時間

Web頁面訪問會留下詳細時間，它是由伺服器生成的而非客戶端時間，不能隨意更改，因而可根據時間高低頻度為站點生成相應報告。

跟蹤客戶端IP地址

這對地理信息查詢相當有用，大多數日誌分析軟體能基於IP地址執行質詢功能，確定用戶所在國家、地區、城市甚至是哪家公司。

檢查用戶請求的路徑和文件

這類信息對Web管理人員相當有用，用於定製分析頁面訪問情況，包括登錄、退出和路徑分析（通常組合有附加信息如IP地址）。

了解訪問狀態（代碼）

可將Web訪問劃分為多個時段，據此分析訪問狀態：耗時200秒以內為成功訪問；300秒以上意味著客戶端被重定向到了不同頁面；400秒錶明客戶端出錯（如404文件未找到）；任何情況下達到500秒意味著伺服器出錯（如ASP腳本錯誤）。狀態代碼用於生成日誌分析報告中的一些技術信息。

檢查用戶代理

目的是檢查訪問者使用的瀏覽器版本和操作系統類型，以幫助檢測可能由瀏覽器或操作系統兼容性帶來的問題，進而採用針對使用頻度高的瀏覽器/操作系統的特定技術來對站點進行改進。

查看訪問源頭

分析請求頁面或文件時是從內部站點直接進入還是外部Web頁面，也就是查看訪問源，是從搜索引擎而來，還是從第三方頁面而來。

B. 如何查看一個網站的網路日誌

查看一個網站的網路日誌：
IIS（Internet Information Server，互聯網信息服務）是一種Web（網頁）服務組件，其中包括Web伺服器、FTP伺服器、NNTP伺服器和SMTP伺服器，分別用於網頁瀏覽、文件傳輸、新聞服務和郵件發送等方面，它使得在網路（包括互聯網和區域網）上發布信息成了一件很容易的事。

作為SEOer、網站管理員，查看網站日誌是非常重要的，也是必須的。SEOer通過查看網站日誌可以知道搜索機器人的來訪情況。網站管理員查看日誌可以知道整個網站的運營情況。
IIS日誌，擴展名為.log，用記事本就能打開。
IIS日誌文件的位置
默認狀態下，IIS 把它的日誌文件放在 %WINDIR\System32\Logfiles 文件夾中。每個萬維網 (WWW) 站點和 FTP 站點在該目錄下都有一個單獨的目錄。在默認狀態下，每天都會在這些目錄下創建日誌文件，並用日期給日誌文件命名（例如，exYYMMDD.log）。如：ex100326.log
下面我們從一段日誌來分析：
#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2010-03-26 01:14:22
#Fields: time cs-method cs-uri-stem c-ip sc-status sc-bytes cs-bytes
01:14:21 GET /show2.asp 203.208.60.210 200 15046 287
作為新手，看見這個肯定會一頭霧水，別急，下面我給大家一一道來
1、#Software: Microsoft Internet Information Services 6.0
說明這個日誌是由IIS這個工具生成的。
2、#Version: 1.0
版本號：1.0
3、#Date: 2010-03-26 01:14:22
生成時間：2009-03-26 01:14:22
4、time: 訪問時間"01：14：21"。
5、cs-method: 訪問方法。常見的有兩種：GET與POST。GET通俗點講就相當於在IE地址欄敲下地址所產生的訪問，POST是一種表單提交，比如數據較大，涉及到隱私都都需要用POST，但不一定，表單提交也可以是GET方式。
6、cs-uri-stem: 指的是訪問哪個地址，如：/show2.asp。
7、c-ip:客戶端ip"203.208.60.210"。
8、sc-status:訪問狀態：200表示成功，404表示找不到頁面。
9、sc-bytes:伺服器發送的位元組數"15046"。
10、cs-bytes:伺服器接受的位元組數"287"。
附：IIS日誌中記錄的欄位及詳細說明
date：發出請求時候的日期。
time：發出請求時候的時間。注意：默認情況下這個時間是格林威治時間，比我們的北京時間晚8個小時，下面有說明。
c-ip：客戶端IP地址。
cs-username：用戶名，訪問伺服器的已經過驗證用戶的名稱，匿名用戶用連接符-表示。
s-sitename：服務名，記錄當記錄事件運行於客戶端上的Internet服務的名稱和實例的編號。
s-computername：伺服器的名稱。
s-ip：伺服器的IP地址。
s-port：為服務配置的伺服器埠號。
cs-method：請求中使用的HTTP方法，GET/POST。
cs-uri-stem：URI資源，記錄做為操作目標的統一資源標識符（URI），即訪問的頁面文件。
cs-uri-query：URI查詢，記錄客戶嘗試執行的查詢，只有動態頁面需要URI查詢，如果有則記錄，沒有則以連接符-表示。即訪問網址的附帶參數。
sc-status：協議狀態，記錄HTTP狀態代碼，200表示成功，403表示沒有許可權，404表示找不到該頁面，sc-status 304 \\協議狀態（200是正常的 404 是找不到文件，304未改變。具體說明在下面。
sc-substatus：協議子狀態，記錄HTTP子狀態代碼。
sc-win32-status：Win32狀態，記錄Windows狀態代碼。
sc-bytes：伺服器發送的位元組數。
cs-bytes：伺服器接受的位元組數。
time-taken：記錄操作所花費的時間，單位是毫秒。
cs-version：記錄客戶端使用的協議版本，HTTP或者FTP。
cs-host:記錄主機頭名稱，沒有的話以連接符-表示。注意：為網站配置的主機名可能會以不同的方式出現在日誌文件中，原因是HTTP.sys使用Punycode編碼格式來記錄主機名。
cs(User-Agent)：用戶代理，客戶端瀏覽器、操作系統等情況。
cs(Cookie)：記錄發送或者接受的Cookies內容，沒有的話則以連接符-表示。
cs(Referer)：引用站點，即訪問來源。

C. 手把手教你如何看路由器日誌

手把手教你如何看路由器日誌

日誌對於網路安全來說非常重要，他記錄了系統每天發生的各種各樣的事情，你可以通過他來檢查錯誤發生的原因，或者受到攻擊時攻擊者留下的痕跡。路由器是各種信息傳輸的樞紐，被廣泛用於企事業單位的網路建設中，承擔著區域網之間及區域網與廣域網之問連接的重任。下面由我來談談如何看路由器日誌。

Cisco是目前使用比較廣泛的一種路由器，在許多行業系統中有非常普遍的應用。以下是筆者在日常工作中積累的一些對Cisco路由器日誌設置方面的經驗，這些實例都在實際應用中調試通過並投入使用，供大家參考。 路由器的一些重要信息可以通過syslog機制在內部網路的Unix主機上作日誌。在路由器運行過程中，路由器會向日誌主機發送包括鏈路建立失敗信息、包過濾信息等等日誌信息，通過登錄到日誌主機，網路管理員可以了解日誌事件，對日誌文件進行分析，可以幫助管理員進行故障定位、故障排除和網路安全管理。

1、syslog設備

首先介紹一下syslog設備，它是標准Unix，的跟蹤記錄機制，syslog可以記錄本地的一些事件或通過網路記錄另外一個主機上的事件，然後將這些信息寫到一個文件或設備中，或給用戶發送一個信息。syslog機制主要依據兩個重要的文件:/etc/syslogd(守護進程)和 /etc /syslog.conf配置文件，syslogd的控制是由/etc/syslog.conf來做的。syslog.conf文件指明 syslogd程序記錄日誌的行為，該程序在啟動時查詢syslog.conf配置文件。該文件由不同程序或消息分類的單個條目組成，每個佔一行。對每類消息提供一個選擇域和一個動作域。這些域由tab隔開(注意:只能用tab鍵來分隔，不能用空格鍵)，其中選擇域指明消息的類型和優先順序;動作域指明 sysloqd接收到一個與選擇標准相匹配的消息時所執行的動作。每個選項是由設備和優先順序組成。也就是說第一欄寫"在什麼情況下"及 "什麼程度"。然後用TAB鍵跳到下一欄繼續寫 "符合條件以後要做什麼"。當指明一個優先順序時，syslogd將記錄二個擁有相同或更高優先順序的消息。每行的行動域指明當選擇域選擇了一個給定消息後應該把他發送到哪兒。

第一欄包含了何種情況與程度，中間用小數點分隔。詳細的設定方式如下:

auth 關於系統安全與使用者認證;

cron關於系統自動排序執行(CronTable);

daemon 關於背景執行程序;

ken 關於系統核心;

Ipr關於列印機;

mai1 關於電子郵件;

news 關於新聞討論區;

syslog 關於系統記錄本身;

user 關於使用者;uucp關於UNIX互拷(UUCP)。

2、什麼程度才記錄

如你要系統去記錄info等級的事件，則notice、err、warning、Crit、alert、emerg等在info等級以上的也會被一並記錄下來。把上面所寫的1、2項以小數點組合起來就是完整的"要記錄哪些東西"的寫法。例如mail.info表示關於電子郵件傳送系統的一般性信息。 auth.emerg就是關於系統安全方面相當嚴重的信息。Ipr.none表示不要記錄關於列印機的信息(通常用在有多個紀錄條件時組合使用)。另外有三種特殊的符號可供應用：

星號(*):代表某一細項中所有項目。例如mail.*表示只要有關mail的，不管什麼程度都要記錄下來。而*.info會把所有程度為infn的事件給記錄下來。 等號(=):表示只記錄目前這一等級，其上的等級不要記錄。例如上面的例子，平常寫下info等級時，也會把位於info等級上面的 notice.err.warning、crit、alert、emerg等其他等級也記錄下來。但若你寫=info則就只有記錄info這一等級了。 驚嘆號(!):表示不要記錄目前這一等級及其上的等級。

3、記錄存放的位置

sysloqd提供下列方法供您記錄系統發生的事件：

這是最普遍的方式。你可以指定好文件路徑與文件名稱，但是必須以目錄符號"/"開始，系統才會知道這是一個文件。例如/var/adm/maillog表示要記錄到/var/adm下面一個稱為maillog的文件。如果之前沒有這個文件，系統會自動產生一個。

指定的終端機或其他設備

你也可以將系統記錄寫到一個終端機或是設備上。若將系統記錄寫到終端機，則目前正在使用該終端機的`使用者就會直接在屏幕上看到系統信息(例如 /dev /conso舊或是/dev/tty1，你可以拿一個屏幕專門來顯示系統信息)。若將系統記錄寫到列印機(例如/dev/!p0)。，則你會有一長條印滿系統記錄的紙，這樣網路入侵者就不能修改日誌來隱藏入侵痕跡。

指定的遠端主機

如果你不將系統信息記錄在本地機器上，你可以寫下網路中另一個主機的名稱，然後在主機名稱前面加上"@"符號(例如(@)ccunix1.variox.int，但被你指定的主機上必須要有sysloqd)。這可以防止由於硬碟錯誤等情況使日誌文件丟失。

以上就是syslog各項記錄程度及記錄方式的寫法，可以依照自己的需求記錄下自己所需要的內容。但是這些記錄都是一直追加上去的，除非將文件自行刪除掉，否則這些文件就會越來越大。Syslog設備是一個網路攻擊者的顯著目標，通過修改日誌來隱藏入侵痕跡，因此我們要特別注意。最好養成每周(或更短的時間)定期檢查一次記錄文件的習慣，並將過期的記錄文件依照流水號或是日期備份，以後查閱時也比較容易。千萬不要記錄下*.*，這樣無論什麼都被記錄下來，結果會導致文件太大，要找資料時根本無法馬上找出來。有人在記錄網路日誌時，連誰去ping他的主機都要記錄，這樣不僅降低系統效率而且增加了磁碟用量。