一、日志介绍

1. 为什么要使用日志
   • 故障诊断：快速定位系统错误根源
   • 安全审计：追踪异常访问、识别攻击行为（如恶意IP、暴力破解）
   • 性能优化：分析请求响应时间、资源消耗瓶颈
   • 合规要求：满足行业监管的数据留存规范
2. 常见中间件
   Apache、Nginx、IIS、Tomcat、WebLogic、JBoss
3. 中间件日志关键点
   • 统一格式：确保日志字段标准化（如W3C格式）
   • 级别控制：按需设置DEBUG/INFO/ERROR等级别，平衡信息量与存储
   • 定期轮转：避免日志无限增长导致磁盘溢出
   • 安全存储：防止篡改，敏感信息脱敏（如用户密码）

---

二、Apache日志详解

1. 日志存放位置

💡 路径可能因配置调整，需检查 httpd.conf 中的 CustomLog 和 ErrorLog 指令。

2. 日志类型

• 访问日志（access.log）
  记录客户端请求，格式示例：
  192.168.1.10 - - [20/Mar/2023:12:00:01 +0800] “GET /index.html HTTP/1.1” 200 423
  字段含义：客户端IP、时间、请求方法、资源路径、HTTP状态码、响应字节数。
• 错误日志（error.log）
  记录服务异常，如模块加载失败、权限错误，格式包含错误级别（如 [error]）和详情。

3. 日志级别

通过 LogLevel 指令配置（从低到高）：
debug → info → notice → warn → error → crit → alert → emerg

1.debug（调试）​​
​​描述​​：最详细的日志级别，记录所有调试信息（如配置文件加载、模块初始化细节）。
​​适用场景​​：开发环境深度排查问题，​​生产环境禁用​​（日志量极大，影响性能）。
​​2. info（信息）​​
​​描述​​：记录服务器运行状态、常规操作信息（如服务启动、资源分配）。
​​适用场景​​：监控系统运行趋势，非关键性事件记录。
​​3. notice（通知）​​
​​描述​​：记录普通但需关注的事件（如进程异常终止后重启）。
​​适用场景​​：运维监控，捕捉潜在异常行为。
​​4. warn（警告）​​
​​描述​​：非致命性异常，系统仍可运行（如子进程未正常退出）。
​​适用场景​​：​​默认生产环境级别​​，平衡信息量与可操作性。
​​5. error（错误）​​
​​描述​​：功能错误（如脚本执行失败、权限问题），影响部分请求处理。
​​适用场景​​：快速定位服务中断原因。
​​6. crit（严重）​​
​​描述​​：关键故障（如资源分配失败），可能导致服务不可用。
​​适用场景​​：紧急故障告警，需立即干预。
​​7. alert（警报）​​
​​描述​​：需​​立即处理​​的严重问题（如系统关键组件失效）。
​​适用场景​​：系统濒临崩溃前的告警。
​​8. emerg（紧急）​​
​​描述​​：​​系统不可用​​的最高级别错误（如主进程崩溃）。
​​适用场景​​：灾难性事件记录，通常伴随服务终止。

4. 常用日志分析命令（Linux环境）

1. 查看所有访问IP
awk '{print $1}' access.log | sort -n2. 显示访问量TOP 10 IP（定位攻击源）
awk '{print $1}' access.log | sort | uniq -c | sort -nr | head -103. 显示指定时间后的日志（如2023-03-20 12:00后）
awk -v d="20/Mar/2023:12:00:" '$4 > d' access.log4. 查看时间段内IP连接（如12:00-13:00）
awk -v s="20/Mar/2023:12:00:" -v e="20/Mar/2023:13:00:" '$4 >= s && $4 <= e' access.log | awk '{print $1}' | sort -u5. 追踪指定IP行为（如192.168.1.10）
grep '192.168.1.10' access.log6. 统计最近访问量最高文件
awk '{print $7}' access.log | sort | uniq -c | sort -nr | head -10

---

三、IIS日志详解

1. 是什么
   Internet Information Services（微软Web服务器）生成的访问与错误记录，默认采用 W3C扩展格式。
2. 作用
   • 分析用户访问路径、流量来源
   • 检测HTTP状态码异常（如大量404或500错误）
   • 识别爬虫行为和安全攻击（如SQL注入特征）
3. 日志位置
   • 默认路径：C:\Windows\System32\LogFiles\W3SVC1\（数字为站点ID）
   • 自定义路径：通过IIS管理器 → 网站属性 → 日志设置修改。

---

四、日志分析工具：360星图

1. 下载地址

• GitHub备份：
  https://github.com/mydnsvip/Public/raw/master/360星图网站日志分析.zip
• Gitee镜像（国内推荐）：
  https://gitee.com/mydnsvip/mydnsvip/raw/master/360星图网站日志分析.zip

⚠️ 官方已停更，此为第三方存档版本。

2. 使用步骤

1. 配置日志路径
   编辑解压后的 /conf/config.ini，修改 log_file 为日志目录或文件（支持IIS/Apache/Nginx）。

log_file: E:\logs\access.log  # 示例路径

2. 运行分析
   双击 start.bat，自动解析日志并生成报告。
3. 查看结果
   报告保存在 /result/ 目录，打开 .html 文件即可查看：
   • 攻击识别：SQL注入、XSS等Web攻击
   • 异常访问：高频IP、恶意爬虫
   • 流量统计：访问趋势、热门资源

---

更多日志配置细节可参考：
- Apache官方文档（httpd.conf参数）
- IIS日志管理策略