情報セキュリティ

ウェブサイトの攻撃兆候検出ツール iLogScanner 概要

オフライン版iLogScannerトップページ

クイックリンク

概要

iLogScannerは、ウェブサーバのアクセスログから攻撃と思われる痕跡を検出するためのツールです。 ウェブサイトのログを解析することで攻撃の痕跡を確認でき、一部の痕跡については攻撃が成功した可能性を確認できます。また、SSHやFTPサーバのログに対しても、攻撃と思われる痕跡を検出することができます。

※オフライン版iLogScannerをご利用の際は、「利用許諾(PDF形式)」(PDF:172KB)に同意いただく必要があります。

パッケージ構成

ダウンロードしたパッケージを展開すると、以下のファイルが含まれています。

readme.txt

全体ガイダンス(最初にお読みください)

1_bin

iLogScanner実行モジュール格納ディレクトリ

├iLogScanner.jar

iLogScanner本体

├iLogScanner.conf

設定ファイル

├ライブラリファイル

ライブラリファイル群

├iLogScanner.bat

Windows用起動スクリプト

└iLogScanner.sh

Linux用起動スクリプト

2_Document

各種ドキュメントが格納されたディレクトリ

├termsofuse_off.pdf

利用許諾(PDF形式)

└manual_off.pdf

マニュアル(PDF形式)

利用方法(GUI版)

(ステップ1)起動

実行モジュール格納ディレクトリにある、ご利用のOSに合わせた起動スクリプトを選択して実行することで、iLogScannerが起動します。スクリプトはご利用の環境に合わせて必要に応じて修正してください。

(ステップ2)解析実行

ログファイルと出力先を選択し、画面左下の「解析開始」ボタンをクリックして解析を実行します。

(ステップ3)解析結果の確認

解析が終了すると結果が画面に表示されます。

(ステップ4)解析結果レポートの確認

解析結果のレポートは、解析結果画面の"解析結果レポートファイル"に表示されたパスに出力されます。
HTML形式の出力例を以下に示します。

  • 解析結果レポート

解析結果レポートには、以下の項目が出力されます。

解析結果

終了ステータス、解析日時、解析対象ファイル、解析指定日付、解析対象日付、解析レベル、検出数が表示されます。

検出対象脆弱性の説明と対策

iLogScannerが検出対象としている項目の説明が表示されます。

解析結果ログ

攻撃の痕跡を検出したログの内容を出力します。

利用方法(CUI版)

オフライン版iLogScannerは、コマンドラインから実行することもできます。
OSのスケジューラ機能を利用して、定期的に解析を行うなどの用途でご利用いただくことができます。

実行例

コマンドラインでの実行例を以下に示します。
コマンドラインから、起動用スクリプトにパラメータを指定して実行してください。

  • Windows
    iLogScanner.bat mode=cui logtype=[解析対象のログ種別] accesslog=[ログファイル名] outdir=[出力先]

  • Linux
    iLogScanner.sh mode=cui logtype=[解析対象のログ種別] accesslog=[ログファイル名] outdir=[出力先]

Windows環境での実行例を以下に示します。

パラメータ一覧

コマンドラインで指定可能なパラメータは以下の通りです。
検出項目の閾値やログフォーマット等の詳細設定項目は設定ファイルで指定可能です。
設定ファイルで指定可能な項目についてはオフライン版iLogScannerに同梱されているマニュアルを参照ください。

起動モード
パラメータ名

mode

指定値 (下線は未指定時のデフォルト値)

下記いずれかを指定
gui / cui

補足

guiで起動した場合、他の指定値は無視する

ログの種類
パラメータ名

logtype

必須

指定値 (下線は未指定時のデフォルト値)

下記いずれかを指定
apache / iis / iis_w3c / ssh / vsftpd / wu-ftpd

入力ログファイル名
パラメータ名

accesslog

必須

○[1]

指定値 (下線は未指定時のデフォルト値)

アクセスログファイル名、または認証ログファイル名をフルパスで指定

補足

カンマ区切りで複数指定可能[2]

エラーログファイル名
パラメータ名

errorlog

必須

○[1]

指定値 (下線は未指定時のデフォルト値)

ModSecurityエラーログのファイル名をフルパスで指定

補足

logtype=apacheの場合のみ有効

エラーログタイプ
パラメータ名

errorlogtype

指定値 (下線は未指定時のデフォルト値)

エラーログ指定時のApacheバージョンを指定
2.2 / 2.4

補足

errorlog指定がある場合のみ有効

出力先ディレクトリ名
パラメータ名

outdir

必須

指定値 (下線は未指定時のデフォルト値)

レポートの出力先ディレクトリを指定

出力形式
パラメータ名

reporttype

指定値 (下線は未指定時のデフォルト値)

下記いずれかを指定
html / text / xml / all

解析レベル
パラメータ名

level

指定値 (下線は未指定時のデフォルト値)

下記いずれかを指定
standard / detail

補足

logtype=apache / iis / iis_w3cの場合のみ有効

[1]
logtype=apacheの場合は、accesslogまたはerrorlogのいずれかの指定が必須です。
logtype=apache以外の場合、accesslogの指定が必須です。

[2]
errorlogを指定した場合は、accesslogの複数ファイル指定は無効となります。

動作環境

OS

  • Windows 10
  • Windows 11
  • Linux(CentOS 等)

実行環境

OpenJDK 11 以上

※iLogScanner の起動には JAVA の実行環境が必要です。予め JAVA の実行環境を整えた上で、ご利用ください。
※取扱説明書、FAQなど動作環境OSについて記載の更新がなされていない箇所があります。予めご了承ください。

解析対象のログ形式

アクセスログ

  • IIS6.0/7.0/7.5/8.0/8.5のW3C拡張ログファイルタイプ
  • IIS6.0/7.0/7.5/8.0/8.5のIISログファイルタイプ
  • Apache HTTP Server1.3系/2.0系/2.2系/2.4系のcommonタイプ(カスタムフォーマット対応)

エラーログ

  • Apache HTTP Server2.0系/2.2系、ModSecurity 2.5系/2.6系/2.7系/2.8系のタイプ
  • Apache HTTP Server2.4系、ModSecurity 2.5系/2.6系/2.7系/2.8系のタイプ

認証ログ

  • sshd(syslog)
  • vsftpd(vsftpd形式、wu-ftpd形式)

解析対象のログの詳細はウェブサイトの攻撃兆候検出ツール iLogScanner 解析対象ログから確認してください。
※解析対象ログの形式が異なる場合、解析が行われない、または攻撃の痕跡の検出が行われません。

参考資料

よくある質問と答え(FAQ)

お問い合わせ先

独立行政法人情報処理推進機構 セキュリティセンター(IPA/ISEC)

  • E-mail

    isec-jvndbアットマークipa.go.jp

更新履歴

  • 2023年1月30日

    動作環境の記載内容を見直し(Windows8.1サポート終了のため)

  • 2022年3月23日

    動作環境の記載内容を見直し

  • 2020年1月22日

    動作環境の記載内容を見直し

  • 2019年4月15日

    iLogScanner オンライン版の公開終了のお知らせを削除

  • 2019年1月16日

    iLogScanner オンライン版の公開終了
    → 概要、利用方法、動作環境の記載内容を見直し

  • 2018年11月13日

    iLogScanner オンライン版の公開終了のお知らせを追加
    → 2018年12月19日 公開終了日(2019年1月16日)を追加

  • 2016年5月23日

    動作環境の記載内容を見直し(Windows 10追加、ウェブブラウザの内容更新)

  • 2014年11月14日

    iLogScanner V4.0.1 を公開 解析結果レポートの出力に関する脆弱性を修正しました。(参考:JVN#89852154)
    謝辞:本脆弱性に関しては以下の方から報告をいただきました。
    報告者:株式会社NTTネオメイト 水谷 真也 様
    報告者:草野 一彦 様

  • 2014年10月9日

    iLogScanner V4.0を公開

  • 2014年4月24日

    動作環境の記載内容を見直し