++本篇文章旨在为网络安全渗透测试行业OSCP考证教学。通过阅读本文,读者将能够对apache防御日志关键信息过滤有一定了解++
一、下载练习文件
wget www.offensive-security.com/pwk-files/access_log.txt.gz #下载日志文件
gunzip access_log.txt.gz #对文件进行解压
mv access_log.txt a.txt #为了方便练习,把日志文件重命名a.txt
二、查看分析日志
1、显示第一列:(客户端请求IP地址)
cat a.txt | cut -d " " -f 1
#从文本文件 a.txt 中提取每一行的第一个空格分隔的字段,因为我们看到日志文件第一列是IP地址且后面都有空格
2、第一列信息去重(很多日志IP是重复的,进行去重过滤)
cat a.txt | cut -d " " -f 1 | sort -u
从文本文件 a.txt 中提取每一行的第一个空格分隔的字段,去除重复的字段
3、针对第一列IP信息去重+统计数量
cat a.txt | cut -d " " -f 1 | sort | uniq -c
#从文本文件 a.txt 中提取每一行的第一个空格分隔的字段,统计每个唯一字段的出现次数。
4、针对第一列IP信息去重+统计数量并进行排序
cat a.txt | cut -d " " -f 1 | sort | uniq -c | sort -run
#从文本文件 a.txt 中提取每一行的第一个空格分隔的字段,然后对这些字段进行排序,统计每个唯一字段的出现次数,并按照出现次数和字典顺序对结果进行排序
5、显刚才排序最多的IP(208.68.234.99)日志
cat a.txt |grep '208.68.234.99'
#查看208.68.234.99的所有日志信息
6、显示刚才排序最多的IP日志,过滤显示admin并统计数量
cat a.txt |grep '208.68.234.99' |grep admin |uniq -c
#用于从文本文件 a.txt 中查找包含特定 IP 地址(208.68.234.99)和特定字符串(admin)的行,然后统计这些行的出现次数。
++声明! 学习内容来自B站up主 泷羽sec的OSCP考证培训有兴趣的师傅可以关注一下,如涉及侵权马上删除文章,笔记只是方便各位师傅的学习和探讨,文章所提到的网站以及内容,只做学习交流,其他均与本人以及泷羽sec团队无关,切勿触碰法律底线,否则后果自负!!++