Apache和Nginx结构
InsightOps会自动识别和索引Apache和Nginx日志事件中的字段。键会自动高亮显示并可点击。单击一个字段将填充搜索栏,允许快速搜索您的数据。
基本
解析
如果我们以一个正常的Apache日志为例:
192.0.2.1 - Ultan [07/Mar/2004:16:43:54 -0800] "GET /unencrypted_password_list HTTP/1.1" 404 9001 "http://passwords。hackz0r" "Mozilla/4.08 [en] (Win95)"
我们知道apache访问日志的格式是:
*addr* - *user* *timestamp* "*method* *path* *version*" *status* *bytes* *referrer* *agent*
您将能够为分组查询和计算立即解析这些隐含的键。从上面的例子来看:
隐含的关键 |
价值 |
|---|---|
addr |
192.0.2.1 |
用户 |
Ultan |
时间戳 |
(-0800年07 / 3月/ 2004:16:43:54) |
方法 |
得到 |
路径 |
/ unencrypted_password_list |
版本 |
HTTP / 1.1 |
状态 |
404 |
字节 |
9001 |
介绍人 |
“http://passwords.hackz0r” |
代理 |
wouternieman@gmail.com |
使用这些数据可以更容易地进行日志搜索,例如,你现在可以执行以下查询:
你可以看到当一个referrer来自一个特定的网站:
(推荐人= " http://passwords.hackz0r ")
你可以看到哪些url最常被点击
groupby(路径)计算(计算)排序(desc)
您可以看到发送的平均字节数
计算(平均:字节)
你可以看到哪些地址最常被攻击
计算(数:addr)排序(desc)
这个页面对你有帮助吗?