9 Mart 2012 Cuma

Logparser ile ISA&TMG Loglarının Analizi

ISA veya TMG web logları ISALOG ile başlar ve sonrasında tarih ve bir takım değerler ile devam eder. Bu nedenle logparser ile bu logları incelerken from kısmında dosyanın pathi ve ISALOG* şeklinde o dizin altındaki bütün ISA yada TMG loglarını incelenmesi söz konusu olacaktır.

Herhangi bir websitesine yapılan kayıtların analizi;

Aşağıdaki sorguyu .sql olarak kaydedelim.

select LogFilename,RowNumber,date,time,c-ip,cs-username,sc-bytes,cs-bytes,rule,cs-protocol,cs-uri
into q1.txt
from ISALOG*
where cs-uri like '%bilgiguvenlik.org%'

Yukarıdaki sorgu cümlesiyle bilgiguvenlik.org sitesine giriş yapan kullanıcıların loglarını filtreleyip çıktı olarak alacağız. İstersek bunu bir sql sunucusunda bir tabloya insert edebileceğimiz gibi aşağıdaki komutta olacağı gibi text formatında da çıktı alabiliriz.

Aşağıdaki logparser komutunu .bat olarak kaydedelim.
logparser file:q1.sql -i:w3c -o:nat -rtp:-1
pause

select top 10 URL,cs-username,c-ip,DIV(DIV(SUM(sc-bytes),1024),1024) As Sum_SCBytes,DIV(DIV(SUM(cs-bytes),1024),1024) As CsBytes(MB)
using
                REPLACE_STR(cs-uri,'http://','') As X1,
                EXTRACT_TOKEN(X1,0,'/') AS URL
into q2.txt
from ISALOG*
group by URL,cs-username,c-ip
order by DIV(DIV(SUM(cs-bytes),1024),1024) desc

Yukarıdaki sorguda ise en fazla girilen siteler ve bu sitelere girenlerin kim oldukları ve ne kadar  bant genişliği harcadıklarını görebileceğimiz bir komut dizinidir.


Bir kullanıcının bağlantılarını görmek için (bilgiguvenlik.org kullanıcısı)
select date,time,c-ip,cs-username,sc-bytes,cs-bytes,rule,cs-protocol,cs-uri
into test.txt
from c:\Log\ISALOG*
where cs-username like '%bilgiguvenlik.org%'

Aşağıdaki logparser komutunu .bat olarak kaydedelim.
logparser file:q1.sql -i:w3c -o:nat -rtp:-1
pause

Burada where cümleciğini And ile bağlayıp c-ip ye sadece şu ip adresinden yapılan kayıtları göstermesi sağlanabilir. IP adres = 10.0.0.11 olsun.

where cs-username like '%bilgiguvenlik.org%'
and c-ip = '10.0.0.11'

gibi bir sorgu oluşturulabilir.

Burada Logparser ı kullanarak istediğimiz şekilde bilgiler çıkarılabilir. En fazla bant genişliği harcayan kullanıcıların tesbit edilmesi yada url lerin tesbit edilmesi. Genellikle spesifik bir kullanıcı yada bir url e yapılan isteklerin raporlanması bizden istenebilmektedir. Yukarıda verdiğim bazı örnekler bu tarz işlemler için yeterli olacaktır.

Hiç yorum yok:

Yorum Gönder