网安篇（一）日志分析——从给的登录日志中找出攻击IP和使用的用户名

1.1知识点（这里就是web网页日志了）

1.1.1文件及其格式

1. 访问日志（Access Log）

记录 Web 服务器收到的所有 HTTP 请求，包括请求的详细信息。

 - <用户名> [<日期时间>] "<请求方法> <请求路径> <协议>" <状态码> <返回大小> "" ""

• IP：发起请求的客户端 IP 地址
• 用户名：如果有登录，记录的用户名
• 日期时间：请求的时间和时区
• 请求方法：GET、POST、PUT、DELETE 等
• 请求路径：请求的 URL 路径（例如 /index.html）
• 协议：HTTP 协议及版本（例如 HTTP/1.1）
• 状态码：HTTP 响应的状态码（如 200 表示成功，404 表示找不到页面）
• 返回大小：响应体的大小
• Referer：来源页（即请求从哪个页面跳转过来）
• User-Agent：客户端的浏览器和操作系统信息

192.168.1.1 - - [12/Mar/2022:10:00:00 +0000] "GET /admin HTTP/1.1" 404 2326 "http://example.com" "Mozilla/5.0"

• 这表示客户端 IP 地址 192.168.1.1 请求 /admin 页面，返回了 404 错误，来源是 http://example.com，浏览器为 Mozilla/5.0。

---

2. 登录日志（Login Log）

记录用户的登录信息，包括成功和失败的登录尝试。

<日期时间>  <用户名> <状态> <附加信息>

• 日期时间：登录事件发生的时间
• IP 地址：尝试登录的客户端的 IP 地址
• 用户名：尝试登录的用户名
• 状态：登录是否成功（如 SUCCESS 或 FAILURE）
• 附加信息：如错误信息、登录失败原因等

2022-03-12 10:00:00 192.168.1.1 user123 FAILURE (Wrong password) 2022-03-12 10:05:00 192.168.1.2 user123 SUCCESS

• 这表示 192.168.1.1 的 user123 用户登录失败，密码错误，而 192.168.1.2 上的 user123 登录成功。

---

3. 错误日志（Error Log）

记录 Web 服务器或应用程序运行中的错误信息。可以帮助定位应用程序故障、系统异常、请求错误等。

<日期时间> <错误级别> <错误信息>

• 日期时间：错误发生的时间
• 错误级别：错误的严重性（如 ERROR、WARNING、INFO）
• 错误信息：具体的错误内容或异常信息

<日期时间> <错误级别> <错误信息>

[Wed Mar 12 10:00:00 2022] [error] [client 192.168.1.1] PH