应急响应——Web服务日志分析
一、基础认知
1、日志核心作用
- Web服务器会记录每一次网站访问行为,包含访问IP、请求页面、响应状态、访问时间、客户端信息等。
- 入侵、漏洞攻击、爬虫扫描、网页篡改都会留下日志痕迹,是网站应急排查、溯源攻击源的核心依据。
2、日志默认存放路径
- Nginx:/var/log/nginx/ 常见文件:access.log(访问日志)、error.log(错误日志)
- Apache:/var/log/httpd/ 常见文件:access_log、error_log
- Tomcat:tomcat安装目录/logs/ 常见文件:localhost_access_log.日期.txt
3、两类日志分工
- 访问日志access:正常访问、攻击请求全部记录,排查攻击首选
- 错误日志error:程序报错、请求异常、脚本执行失败记录,辅助定位漏洞问题
二、三大Web日志格式详解
1.Nginx日志标准格式
默认通用格式字段含义
192.168.1.100 - - [23/May/2026:15:30:20+0800] "GET /index.php?id=1 AND 1=2 HTTP/1.1" 200 256 "http://xxx.com""Mozilla/5.0"字段拆解
- 客户端IP:攻击溯源核心地址
- 空白字段:访问账号,静态网站一般为空
- 访问时间:精准定位攻击发生时段
- 请求方式+请求路径+协议版本:GET/POST常用,包含漏洞攻击参数
- 响应状态码:判断访问结果
- 响应数据大小
- 来路页面Referer
- 客户端浏览器/设备UA信息
2.Apache日志格式
字段排布和Nginx基本一致,字段含义通用,仅日志文件名、配置写法有区别,分析逻辑互通
3.Tomcat访问日志格式
结构相近,侧重JAVA项目请求记录,可同样安装IP、时间、请求地址、状态码维度分析
三、常用HTP响应状态码
| 状态码 | 含义 | 应急排查意义 |
| 200 | 请求成功 | 正常访问,也代表攻击请求被服务器正常处理 |
| 301/302 | 页面跳转 | 排查恶意跳转、钓鱼页面跳转行为 |
| 403 | 权限拒绝 | 大量出现大概率是目录扫描、越权访问尝试 |
| 404 | 页面不存在 | 高频出现多为探测路径、扫描网站目录 |
| 500 | 服务器内部错误 | 大概率触发命令执行、SQL注入等高危漏洞 |
| 405 | 请求方法不允许 | 异常请求方式试探攻击 |
四、各类攻击日志特征识别
1.SQL注入攻击
特征关键词:and or union select sleep ' --
恶意请求示例:
/new.php?id=1' union select 1,username,password from admin--排查要点:URL参数里出现数据库语句、特殊闭合符号
2.文件上传攻击
特征关键词:.php .asp .jsp shell upload 后缀绕过字符
行为表现:频繁向上传接口提交脚本文件,尝试写入WebShell
3.目录扫描/暴力探测
特征:短时间大量访问不存在路径、后台文件、备份文件
常见探测路径:/admin /bak /config /robots.txt
日志表现:大批量404、403状态码记录
4.XSS跨站攻击
特征关键词:<script> alert javascript iframe
请求参数携带HTML、JS恶意标签,尝试弹窗、窃取cookie
5.后门木马访问
特征:访问陌生后缀脚本文件、隐藏路径文件
例如:/a.php /sys.jsp 非常规命名的脚本地址
6.爬虫、恶意扫描
同一个IP短时间内高频次、大批量发起访问请求,访问路径无规律
五、Liux端日志常用分析命令
适配Nginx/Apache/Tomcat日志,快速筛选异常
#实时监控最新访问日志 tail -f /var/log/nginx/access.log #查看最后200条日志记录 tail -n 200 /var/log/nginx/access.log #筛选包含注入关键字的请求 grep -i "union\|select\|and" /var/log/nginx/access.log #筛选404扫描行为 grep " 404 " /var/log/nginx/access.log #筛选500报错漏洞触发记录 grep " 500 " /var/log/nginx/access.log #统计单个IP访问次数,找出高频攻击IP awk '{print $1}' access.log | sort | uniq -c | sort -nr #筛选包含php脚本访问记录,排查木马 grep ".php" access.log六、Windows端Web日志查看方式
- IIS日志:默认路径C:\inetpub\logs\LogFiles
- 可直接用记事本、Notepad++打开,也能用编辑器搜索关键词
- 筛选技巧:Ctrl+F检索注入、脚本、扫描相关关键词
七、日志分析标准步骤
- 确认告警事件,截取对应时间段日志范围
- 先筛选异常状态吗:500、404、403批量记录
- 检索攻击特征关键词,定位恶意请求
- 提取攻击IP、攻击请求路径、攻击时间
- 关联判断攻击类型,同时记录正常合法访问做区分
- 留存原始日志文件,作为取证溯源凭证