HOME >> 情報セキュリティ >> 脆弱性対策 >> ウェブサイト攻撃の検出ツール >> 解析対象のログ詳細
アクセスログの概要
「iLogScanner」は次のウェブサーバソフトウェアとアクセスログフォーマットに対応しています。
| ウェブサーバソフトウェア | アクセスログフォーマット |
|---|---|
| Microsoft インターネット インフォメーション サービス(IIS 5.0、5.1、6.0、7.0) | W3C拡張ログファイル形式 |
| Microsoft インターネット インフォメーション サービス(IIS 5.0、5.1、6.0、7.0) | IISログファイル形式 |
| Apache HTTP Server(1.3系、2.0系、2.2系) | Common Log Format |
W3C拡張ログファイル形式
「インターネット インフォメーション サービス (IIS) マネージャ」のウェブサイトのプロパティより、アクティブ ログ形式が「W3C 拡張ログ ファイル形式」になっている必要があります。
また、アクティブ ログ形式のプロパティにある拡張ログ オプションにおいて次の必須項目が有効になっている必要があります。IIS5.1のW3C拡張ログファイルついては、以下に示されている必須項目のうち、「日付」と「URIクエリ」の2項目がデフォルト選択となっておりません。
必須項目
- 日付(date)
- 時間(time)
- クライアントIPアドレス(c-ip)
- ユーザ名(cs-username)
- サーバIPアドレス(s-ip)
- サーバポート(s-port)
- メソッド(cs-method)
- URI Stem(cs-uri-stem)
- URIクエリ(cs-uri-query)
- プロトコルの状態(sc-status)
- ユーザエージェント(cs(User-Agent))
IISログファイル形式
「インターネット インフォメーション サービス (IIS) マネージャ」のウェブサイトのプロパティより、アクティブ ログ形式が「Microsoft IIS ログ ファイル形式」になっている必要があります。
以下はIIS5.0/5.1/6.0/7.0のIISログファイル形式のログ項目一覧です。
IIS5.0/5.1/6.0/7.0のIISログ項目一覧
- クライアントIPアドレス
- ユーザ名
- 要求日付
- 要求時刻
- サービス名
- サーバIPアドレス(s-ip)
- 処理時間
- 受信バイト数
- 送信バイト数
- サービス状態コード
- システム状態コード
- メソッド
- URI Stem
- URI クエリ
Common Log Format
Apache HTTP Serverの設定で、Common Log Format(デフォルトで定義されているニックネーム「common」形式)のアクセスログが出力されている必要があります。また、先頭からの書式がCommon Log Formatと同じCombined Log Format(デフォルトで定義されているニックネーム「combined」形式)であれば解析することが可能です。
Apache HTTP Serverのアクセスログ出力設定例
LogFormat "%h %l %u %t \"%r\" %>s %b" common
CustomLog logs/access_log common
Apache HTTP ServerのCommon Log Format(CLF)書式
| フォーマット文字列 | 説 明 |
|---|---|
| %h | リモートホスト |
| %l | (identd からもし提供されていれば) リモートログ名 |
| %u | リモートユーザ |
| %t | リクエストを受付けた時刻。CLFの時刻の書式(標準の英語の書式)。 |
| \"%r\" | リクエストの最初の行 |
| %>s | 最後のステータス |
| %b | レスポンスのバイト数。HTTPヘッダは除く。CLF書式。 |
Apacheアクセスログのフォーマット指定
Apache アクセスログのフォーマット指定ができます。フォーマットには「表 Apache HTTP ServerのCommon Log Format(CLF)書式」の項目が出力されている必要があります。また、各項目の区切り文字として「半角スペース」が設定されている必要があります。Apache HTTP Serverの設定で設定できる書式指定子(以下の「入力可能な書式指定子」に示す項目)のみ入力可能とします。
【入力例】 LogFormat "%t %h %l %u \"%r\" %>s %b" common
【入力可能な書式指定子】
%h %l %u %t %r %s %b %% %a %A %B %C %D %e %f %i %m %n %o %p %P %q %T %U %v %V %X %I %O
%{Foobar}C %{Foobar}e %{Foobar}i %{Foobar}n %{Foobar}o
※ Foobarは、「任意の文字列」
エラーログの概要
「iLogScanner」は次のウェブサーバソフトウェアとエラーログフォーマットに対応しています。
| ウェブサーバソフトウェア | エラーログフォーマット |
|---|---|
| Apache HTTP Server(2.0系、2.2系) | ModSecurity 2.5系が出力するエラーログ形式 |
ModSecurity 2.5系が出力するログ形式
ModSecurity 2.5系が出力するApacheのエラーログ形式で、ModSecurityの設定で次の必須項目が有効になっている必要があります。
必須項目
| 項目概要 | 例 |
|---|---|
| アクセス日時 | Sat Dec 12 11:20:50 2009 |
| Apacheのエラーレベル | error |
| アクセス元IPアドレス | client 192.168.1.1 |
| メッセージ | msg “SQL Injection Attack” |
| タグ | tag “WEB_ATTACK/SQL_INJECTION” |
| リクエストURI | uri "/query.php" |
| リクエストの固有番号 | unique_id "Sjr2An8AAAEAABJlx2kAAAAJ" |
ModSecurityによるApache エラーログの出力例
[Sat Dec 12 11:20:50 2009] [error] [client 192.168.1.1] ModSecurity: Warning. Pattern match "(?:\\b(?:(?:s(?:elect\\b(?:.{1,100}?\\b(?:(?:length|count|top)\\
b.{1,100}?\\bfrom|from\\b.{1,100}?\\bwhere)|.*?\\b(?:d(?:ump\\b.*\\bfrom|ata_type)|(?:to_(?:numbe|cha)|inst)r))|p_(?:(?:addextendedpro|sqlexe)c|(?:oacreat|prepar)e|execute(?:sql)?|makewebtask)|ql_(? ..." at ARGS:id.
[file "/usr/local/apache2/conf/modsec2/modsecurity_
crs_40_generic_attacks.conf"] [line "66"] [id "950001"] [msg "SQL Injection Attack"] [data "or 1="] [severity "CRITICAL"] [tag "WEB_ATTACK/SQL_INJECTION"]
[hostname "centos5.localdomain"] [uri "/query.php"] [unique_id "Sjr2An8AAAEAABJlx2kAAAAJ"]
お問い合わせ先
独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC) 大森/渡辺
TEL:03-5978-7527 FAX:03-5978-7518
E-mail:
更新履歴
| 2010年8月27日 | iLogScanner V3.0を公開 |
|---|---|
| 2008年11月11日 | iLogScanner V2.0を公開 |
| 2008年4月18日 | iLogScannerを公開 |