HOME情報セキュリティ情報セキュリティ対策脆弱性対策ウェブサイトの攻撃兆候検出ツール iLogScanner

本文を印刷する

情報セキュリティ

ウェブサイトの攻撃兆候検出ツール iLogScanner

  • トップページ
  • 操作手順(PDF形式)
  • 機能説明
  • 解析対象ログ詳細
  • FAQ


■iLogScanner オンライン版の公開終了のお知らせ

2019年1月16日をもってiLogScanner オンライン版の公開を終了致しました。
同等の機能を持つ「iLogScanner オフライン版」への移行をお願いします。

オフライン版iLogScannerトップページ

 クイックリンク:
    |   概要   |   利用方法(GUI版)   |   利用方法(CUI版)   |   動作環境   |   解析対象のログ形式   |   参考資料   |

概要

 iLogScannerは、ウェブサーバのアクセスログから攻撃と思われる痕跡を検出するためのツールです。
 ウェブサイトのログを解析することで攻撃の痕跡を確認でき、一部の痕跡については攻撃が成功した可能性を確認できます。また、SSHやFTPサーバのログに対しても、攻撃と思われる痕跡を検出することができます。


 ※オフライン版iLogScannerをご利用の際は、「利用許諾(PDF形式)」に同意いただく必要があります。
  利用許諾をご確認の上、同意いただける場合には「同意する」にチェックを入れてダウンロードしてください。


利用許諾に同意する
Download iLogScanner



パッケージ構成

ダウンロードしたパッケージを展開すると、以下のファイルが含まれています。
ファイル・ディレクトリ 説明
readme.txt 全体ガイダンス(最初にお読みください)
1_bin iLogScanner実行モジュール格納ディレクトリ
├iLogScanner.jar iLogScanner本体
├iLogScanner.conf 設定ファイル
├ライブラリファイル ライブラリファイル群
├iLogScanner.bat Windows用起動スクリプト
└iLogScanner.sh Linux用起動スクリプト
2_Document 各種ドキュメントが格納されたディレクトリ
├termsofuse_off.pdf 利用許諾(PDF形式)
└manual_off.pdf マニュアル(PDF形式)

利用方法(GUI版)

(ステップ1)起動

実行モジュール格納ディレクトリにある、ご利用のOSに合わせた起動スクリプトを選択して実行することで、iLogScannerが起動します。スクリプトはご利用の環境に合わせて必要に応じて修正してください。

(ステップ2)解析実行

ログファイルと出力先を選択し、画面左下の「解析開始」ボタンをクリックして解析を実行します。


(ステップ3)解析結果の確認

解析が終了すると結果が画面に表示されます。


(ステップ4)解析結果レポートの確認

解析結果のレポートは、解析結果画面の"解析結果レポートファイル"に表示されたパスに出力されます。
HTML形式の出力例を以下に示します。

解析結果レポート

解析結果レポートには、以下の項目が出力されます。
  • 解析結果
    終了ステータス、解析日時、解析対象ファイル、解析指定日付、解析対象日付、解析レベル、検出数が表示されます。
  • 検出対象脆弱性の説明と対策
    iLogScannerが検出対象としている項目の説明が表示されます。
  • 解析結果ログ
    攻撃の痕跡を検出したログの内容を出力します。
TOP

利用方法(CUI版)

オフライン版iLogScannerは、コマンドラインから実行することもできます。
OSのスケジューラ機能を利用して、定期的に解析を行うなどの用途でご利用いただくことができます。

実行例

コマンドラインでの実行例を以下に示します。
コマンドラインから、起動用スクリプトにパラメータを指定して実行してください。

・Windows
 iLogScanner.bat mode=cui logtype=[解析対象のログ種別] accesslog=[ログファイル名] outdir=[出力先]


・Linux
 iLogScanner.sh mode=cui logtype=[解析対象のログ種別] accesslog=[ログファイル名] outdir=[出力先]


Windows環境での実行例を以下に示します。

パラメータ一覧

コマンドラインで指定可能なパラメータは以下の通りです。
検出項目の閾値やログフォーマット等の詳細設定項目は設定ファイルで指定可能です。
設定ファイルで指定可能な項目についてはオフライン版iLogScannerに同梱されているマニュアルを参照ください。

No 設定項目 パラメータ名 必須 指定値
(下線は未指定時のデフォルト値)
補足
1 起動モード mode 下記いずれかを指定
gui / cui
guiで起動した場合、他の指定値は無視する
2 ログの種類 logtype 下記いずれかを指定
apache / iis / iis_w3c / ssh / vsftpd / wu-ftpd
3 入力ログファイル名 accesslog ○[1] アクセスログファイル名、または認証ログファイル名をフルパスで指定 カンマ区切りで複数指定可能[2]
4 エラーログファイル名 errorlog ○[1] ModSecurityエラーログのファイル名をフルパスで指定 logtype=apacheの場合のみ有効
5 エラーログタイプ errorlogtype エラーログ指定時のApacheバージョンを指定
2.2 / 2.4
errorlog指定がある場合のみ有効
6 出力先ディレクトリ名 outdir レポートの出力先ディレクトリを指定
7 出力形式 reporttype 下記いずれかを指定
html / text / xml / all
8 解析レベル level 下記いずれかを指定
standard / detail
logtype=apache / iis / iis_w3cの場合のみ有効
[1]
logtype=apacheの場合は、accesslogまたはerrorlogのいずれかの指定が必須です。
logtype=apache以外の場合、accesslogの指定が必須です。

[2]
errorlogを指定した場合は、accesslogの複数ファイル指定は無効となります。

動作環境

OS ・Windows 7(64bit版)
・Windows 8.1(64bit版)
・Windows 10(64bit版)
・CentOS 6(64bit)
実行環境 OpenJDK別ウィンドウで開く 11 以上
※Windows環境でご利用の場合、環境変数のPathにJavaのインストールフォルダを含める必要がある場合があります。
TOP

解析対象のログ形式

アクセスログ

  • IIS6.0/7.0/7.5/8.0/8.5のW3C拡張ログファイルタイプ
  • IIS6.0/7.0/7.5/8.0/8.5のIISログファイルタイプ
  • Apache HTTP Server1.3系/2.0系/2.2系/2.4系のcommonタイプ(カスタムフォーマット対応)

エラーログ

  • Apache HTTP Server2.0系/2.2系、ModSecurity 2.5系/2.6系/2.7系/2.8系のタイプ
  • Apache HTTP Server2.4系、ModSecurity 2.5系/2.6系/2.7系/2.8系のタイプ

認証ログ

  • sshd(syslog)
  • vsftpd(vsftpd形式、wu-ftpd形式)
解析対象のログの詳細はこちらから確認してください。
※解析対象ログの形式が異なる場合、解析が行われない、または攻撃の痕跡の検出が行われません。
TOP

参考資料

お問い合わせ先

独立行政法人情報処理推進機構 セキュリティセンター(IPA/ISEC)

E-mail:

更新履歴

2019年1月16日 iLogScanner オンライン版の公開終了
→ 概要、利用方法、動作環境の記載内容を見直し
2018年11月13日 iLogScanner オンライン版の公開終了のお知らせを追加
→ 2018年12月19日 公開終了日(2019年1月16日)を追加
2016年5月23日 動作環境の記載内容を見直し(Windows 10追加、ウェブブラウザの内容更新)
2014年11月14日 iLogScanner V4.0.1 を公開
解析結果レポートの出力に関する脆弱性を修正しました。(参考:JVN#89852154)
謝辞:本脆弱性に関しては以下の方から報告をいただきました。
   報告者:株式会社NTTネオメイト 水谷 真也 様
   報告者:草野 一彦 様
2014年10月9日 iLogScanner V4.0を公開
2014年4月24日 動作環境の記載内容を見直し
2011年2月15日 ModSecurity対応機能版において、アクセスログとエラーログを同時に解析した場合、一部のログ形式で検出・遮断した件数が正しくカウントできなかった問題を修正しました。
2010年8月27日 iLogScanner V3.0を公開
2008年11月11日 iLogScanner V2.0を公開
2008年4月18日 iLogScannerを公開