如何抓取网络层日志

A. 如何分析网络日志

A：检查日期和时间

Web页面访问会留下详细时间，它是由服务器生成的而非客户端时间，不能随意更改，因而可根据时间高低频度为站点生成相应报告。

跟踪客户端IP地址

这对地理信息查询相当有用，大多数日志分析软件能基于IP地址执行质询功能，确定用户所在国家、地区、城市甚至是哪家公司。

检查用户请求的路径和文件

这类信息对Web管理人员相当有用，用于定制分析页面访问情况，包括登录、退出和路径分析（通常组合有附加信息如IP地址）。

了解访问状态（代码）

可将Web访问划分为多个时段，据此分析访问状态：耗时200秒以内为成功访问；300秒以上意味着客户端被重定向到了不同页面；400秒表明客户端出错（如404文件未找到）；任何情况下达到500秒意味着服务器出错（如ASP脚本错误）。状态代码用于生成日志分析报告中的一些技术信息。

检查用户代理

目的是检查访问者使用的浏览器版本和操作系统类型，以帮助检测可能由浏览器或操作系统兼容性带来的问题，进而采用针对使用频度高的浏览器/操作系统的特定技术来对站点进行改进。

查看访问源头

分析请求页面或文件时是从内部站点直接进入还是外部Web页面，也就是查看访问源，是从搜索引擎而来，还是从第三方页面而来。

B. 如何查看一个网站的网络日志

查看一个网站的网络日志：
IIS（Internet Information Server，互联网信息服务）是一种Web（网页）服务组件，其中包括Web服务器、FTP服务器、NNTP服务器和SMTP服务器，分别用于网页浏览、文件传输、新闻服务和邮件发送等方面，它使得在网络（包括互联网和局域网）上发布信息成了一件很容易的事。

作为SEOer、网站管理员，查看网站日志是非常重要的，也是必须的。SEOer通过查看网站日志可以知道搜索机器人的来访情况。网站管理员查看日志可以知道整个网站的运营情况。
IIS日志，扩展名为.log，用记事本就能打开。
IIS日志文件的位置
默认状态下，IIS 把它的日志文件放在 %WINDIR\System32\Logfiles 文件夹中。每个万维网 (WWW) 站点和 FTP 站点在该目录下都有一个单独的目录。在默认状态下，每天都会在这些目录下创建日志文件，并用日期给日志文件命名（例如，exYYMMDD.log）。如：ex100326.log
下面我们从一段日志来分析：
#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2010-03-26 01:14:22
#Fields: time cs-method cs-uri-stem c-ip sc-status sc-bytes cs-bytes
01:14:21 GET /show2.asp 203.208.60.210 200 15046 287
作为新手，看见这个肯定会一头雾水，别急，下面我给大家一一道来
1、#Software: Microsoft Internet Information Services 6.0
说明这个日志是由IIS这个工具生成的。
2、#Version: 1.0
版本号：1.0
3、#Date: 2010-03-26 01:14:22
生成时间：2009-03-26 01:14:22
4、time: 访问时间"01：14：21"。
5、cs-method: 访问方法。常见的有两种：GET与POST。GET通俗点讲就相当于在IE地址栏敲下地址所产生的访问，POST是一种表单提交，比如数据较大，涉及到隐私都都需要用POST，但不一定，表单提交也可以是GET方式。
6、cs-uri-stem: 指的是访问哪个地址，如：/show2.asp。
7、c-ip:客户端ip"203.208.60.210"。
8、sc-status:访问状态：200表示成功，404表示找不到页面。
9、sc-bytes:服务器发送的字节数"15046"。
10、cs-bytes:服务器接受的字节数"287"。
附：IIS日志中记录的字段及详细说明
date：发出请求时候的日期。
time：发出请求时候的时间。注意：默认情况下这个时间是格林威治时间，比我们的北京时间晚8个小时，下面有说明。
c-ip：客户端IP地址。
cs-username：用户名，访问服务器的已经过验证用户的名称，匿名用户用连接符-表示。
s-sitename：服务名，记录当记录事件运行于客户端上的Internet服务的名称和实例的编号。
s-computername：服务器的名称。
s-ip：服务器的IP地址。
s-port：为服务配置的服务器端口号。
cs-method：请求中使用的HTTP方法，GET/POST。
cs-uri-stem：URI资源，记录做为操作目标的统一资源标识符（URI），即访问的页面文件。
cs-uri-query：URI查询，记录客户尝试执行的查询，只有动态页面需要URI查询，如果有则记录，没有则以连接符-表示。即访问网址的附带参数。
sc-status：协议状态，记录HTTP状态代码，200表示成功，403表示没有权限，404表示找不到该页面，sc-status 304 \\协议状态（200是正常的 404 是找不到文件，304未改变。具体说明在下面。
sc-substatus：协议子状态，记录HTTP子状态代码。
sc-win32-status：Win32状态，记录Windows状态代码。
sc-bytes：服务器发送的字节数。
cs-bytes：服务器接受的字节数。
time-taken：记录操作所花费的时间，单位是毫秒。
cs-version：记录客户端使用的协议版本，HTTP或者FTP。
cs-host:记录主机头名称，没有的话以连接符-表示。注意：为网站配置的主机名可能会以不同的方式出现在日志文件中，原因是HTTP.sys使用Punycode编码格式来记录主机名。
cs(User-Agent)：用户代理，客户端浏览器、操作系统等情况。
cs(Cookie)：记录发送或者接受的Cookies内容，没有的话则以连接符-表示。
cs(Referer)：引用站点，即访问来源。

C. 手把手教你如何看路由器日志

手把手教你如何看路由器日志

日志对于网络安全来说非常重要，他记录了系统每天发生的各种各样的事情，你可以通过他来检查错误发生的原因，或者受到攻击时攻击者留下的痕迹。路由器是各种信息传输的枢纽，被广泛用于企事业单位的网络建设中，承担着局域网之间及局域网与广域网之问连接的重任。下面由我来谈谈如何看路由器日志。

Cisco是目前使用比较广泛的一种路由器，在许多行业系统中有非常普遍的应用。以下是笔者在日常工作中积累的一些对Cisco路由器日志设置方面的经验，这些实例都在实际应用中调试通过并投入使用，供大家参考。 路由器的一些重要信息可以通过syslog机制在内部网络的Unix主机上作日志。在路由器运行过程中，路由器会向日志主机发送包括链路建立失败信息、包过滤信息等等日志信息，通过登录到日志主机，网络管理员可以了解日志事件，对日志文件进行分析，可以帮助管理员进行故障定位、故障排除和网络安全管理。

1、syslog设备

首先介绍一下syslog设备，它是标准Unix，的跟踪记录机制，syslog可以记录本地的一些事件或通过网络记录另外一个主机上的事件，然后将这些信息写到一个文件或设备中，或给用户发送一个信息。syslog机制主要依据两个重要的文件:/etc/syslogd(守护进程)和 /etc /syslog.conf配置文件，syslogd的控制是由/etc/syslog.conf来做的。syslog.conf文件指明 syslogd程序记录日志的行为，该程序在启动时查询syslog.conf配置文件。该文件由不同程序或消息分类的单个条目组成，每个占一行。对每类消息提供一个选择域和一个动作域。这些域由tab隔开(注意:只能用tab键来分隔，不能用空格键)，其中选择域指明消息的类型和优先级;动作域指明 sysloqd接收到一个与选择标准相匹配的消息时所执行的动作。每个选项是由设备和优先级组成。也就是说第一栏写"在什么情况下"及 "什么程度"。然后用TAB键跳到下一栏继续写 "符合条件以后要做什么"。当指明一个优先级时，syslogd将记录二个拥有相同或更高优先级的消息。每行的行动域指明当选择域选择了一个给定消息后应该把他发送到哪儿。

第一栏包含了何种情况与程度，中间用小数点分隔。详细的设定方式如下:

auth 关于系统安全与使用者认证;

cron关于系统自动排序执行(CronTable);

daemon 关于背景执行程序;

ken 关于系统核心;

Ipr关于打印机;

mai1 关于电子邮件;

news 关于新闻讨论区;

syslog 关于系统记录本身;

user 关于使用者;uucp关于UNIX互拷(UUCP)。

2、什么程度才记录

如你要系统去记录info等级的事件，则notice、err、warning、Crit、alert、emerg等在info等级以上的也会被一并记录下来。把上面所写的1、2项以小数点组合起来就是完整的"要记录哪些东西"的写法。例如mail.info表示关于电子邮件传送系统的一般性信息。 auth.emerg就是关于系统安全方面相当严重的信息。Ipr.none表示不要记录关于打印机的信息(通常用在有多个纪录条件时组合使用)。另外有三种特殊的符号可供应用：

星号(*):代表某一细项中所有项目。例如mail.*表示只要有关mail的，不管什么程度都要记录下来。而*.info会把所有程度为infn的事件给记录下来。 等号(=):表示只记录目前这一等级，其上的等级不要记录。例如上面的例子，平常写下info等级时，也会把位于info等级上面的 notice.err.warning、crit、alert、emerg等其他等级也记录下来。但若你写=info则就只有记录info这一等级了。 惊叹号(!):表示不要记录目前这一等级及其上的等级。

3、记录存放的位置

sysloqd提供下列方法供您记录系统发生的事件：

这是最普遍的方式。你可以指定好文件路径与文件名称，但是必须以目录符号"/"开始，系统才会知道这是一个文件。例如/var/adm/maillog表示要记录到/var/adm下面一个称为maillog的文件。如果之前没有这个文件，系统会自动产生一个。

指定的终端机或其他设备

你也可以将系统记录写到一个终端机或是设备上。若将系统记录写到终端机，则目前正在使用该终端机的`使用者就会直接在屏幕上看到系统信息(例如 /dev /conso旧或是/dev/tty1，你可以拿一个屏幕专门来显示系统信息)。若将系统记录写到打印机(例如/dev/!p0)。，则你会有一长条印满系统记录的纸，这样网络入侵者就不能修改日志来隐藏入侵痕迹。

指定的远端主机

如果你不将系统信息记录在本地机器上，你可以写下网络中另一个主机的名称，然后在主机名称前面加上"@"符号(例如(@)ccunix1.variox.int，但被你指定的主机上必须要有sysloqd)。这可以防止由于硬盘错误等情况使日志文件丢失。

以上就是syslog各项记录程度及记录方式的写法，可以依照自己的需求记录下自己所需要的内容。但是这些记录都是一直追加上去的，除非将文件自行删除掉，否则这些文件就会越来越大。Syslog设备是一个网络攻击者的显着目标，通过修改日志来隐藏入侵痕迹，因此我们要特别注意。最好养成每周(或更短的时间)定期检查一次记录文件的习惯，并将过期的记录文件依照流水号或是日期备份，以后查阅时也比较容易。千万不要记录下*.*，这样无论什么都被记录下来，结果会导致文件太大，要找资料时根本无法马上找出来。有人在记录网络日志时，连谁去ping他的主机都要记录，这样不仅降低系统效率而且增加了磁盘用量。