14 Şubat 2013 Perşembe

Owa IIS Log dosyalarının Log Parser ile raporlanması


Kullanıcının bağlantı kayıtlarının listelenmesi
c:\Program Files (x86)\Log Parser 2.2>logparser -i:IISW3C "select date, time, c-ip FROM C:\inetpub\logs\LogFiles\W3SVC1\*.* where cs-username like 'kullaniciadi' " ​

 Hatalı oturum açma kayıtlarının kullanıcı bazında listelenmesi, kullanıcı adı yada parola hatası
c:\Program Files (x86)\Log Parser 2.2>logparser -i:IISW3C "select date, time, s-ip, cs-method,s-port, cs-username, c-ip, sc-status, sc-substatus, sc-win32-status FROM C:\inetpub\logs\LogFiles\W3SVC1\*.* where sc-status=401 and cs-username='kullaniciadi'"
Oturum açma işlemi sırasında kullanıcı adı için 'domainadi\kullaniciadi', 'domainadi.local\kullaniciadi' olarak yazılmış olabilir.

Bu durumda
(cs-username='kullaniciadi or cs-username='domainadi\kullaniciadi) olarak komut içinde yazılabilir.

 Hatalı oturum açma kayıtlarının listelenmesi özellikle E-Posta hesaplarının kitlenmesi  durumunda kaynağın belirlenmesi için faydalı olabilir.
c:\Program Files (x86)\Log Parser 2.2>logparser -i:IISW3C "select date, time, s-ip, cs-method,s-port, cs-username, c-ip, sc-status, sc-substatus, sc-win32-status, cs-(User-Agent) FROM C:\inetpub\logs\LogFiles\W3SVC1\*.* where sc-status=401"​

 cs-(User-Agent) ile bağlantı yapılan yazılım tespit edilebilir. Örneğin parolasını yenilemiş bir kullanıcının sürekli hesabının kitlenmesi durumunda, mobil cihazında parolasını güncellemeyi unutması gibi. Aşağıdaki örnek Log kaydı görülebilir.
2013-02-14 07:14:36 172.1.1.1 OPTIONS   443    domainadi\kullaniciadi 10.10.10.10 401       1  

1326            Android/0.3

 Hatalı oturum açma kayıtlarının tarih verilerek listelenmesi ve belirli isimdeki dosayaların içinde aranmasının sağlanması - 
c:\Program Files (x86)\Log Parser 2.2>logparser -i:IISW3C "select date, time, s-ip, cs-method,s-port, cs-username, c-ip, sc-status, sc-substatus, sc-win32-status INTO c:\log.txt FROM C:\inetpub\logs\LogFiles\W3SVC1\u_ex12*.*  where sc-status=401 and cs-username='kullaniciadi' and (date>='2012-01-01'and date<='2012-01-01')"

IIS dosya adı biçimi
u_ex[yil][ay][gun].log

Hatalı oturum açma kayıtlarının tarih verilerek listelenmesi ve ayrı ayrı dosyaların içinde aranmasının sağlanması
c:\Program Files (x86)\Log Parser 2.2>logparser -i:IISW3C "select date, time, s-ip, cs-method,s-port, cs-username, c-ip, sc-status, sc-substatus, sc-win32-status INTO c:\log.txt FROM C:\inetpub\logs\LogFiles\W3SVC1\u_ex12.*, C:\netpub\logs\LogFiles\W3SVC1\u_ex1112*.* where sc-status=401 and cs-username='kullaniciadi'"

 Syslog sunucusuna istenen IIS loglarının gönderilmesi
logparser -i:IISW3C "select * INTO @10.10.10.10 FROM C:\inetpub\logs\LogFiles\W3SVC1\*.* where cs-username like 'kullaniciadi'" -o:SYSLOG -hostname:10.10.10.10

 Syslog sunucusuna belirtilen IIS log dosyalarının gönderilmesi
logparser -i:IISW3C "select * INTO @10.10.10.10 FROM C:\inetpub\logs\LogFiles\W3SVC1\u_ex1203*.*" -o:SYSLOG -hostname:10.10.10.10
Gönderen zaman: Hiç yorum yok:
Kaydol: Kayıtlar (Atom)