日志分析-awstats-7.5的安装使用

0x00 前言

   在安全服务工程师的日常工作中，一般都会有日志分析这项工作的。因为在发现安全事件和入侵取证的时候都需要对Web日志进行分析，从中得到一些入侵者的攻击方式、攻击事件、时间等信息。在此我搭建awstats-7.5进行辅助日志分析。并且以windows Server2008为平台进行搭建。

0x01 下载与安装

# 因为linux平台会带有ruby的安装。所以在linux平台搭建该awstats-7.5是非常简单的，至于后面的文件配置和分析配置，windows/linux 平台的上操作方法是一致的，只是路基不同，至于linux平台的安装，可以参考官方文档（http://www.awstats.org/docs/index.html）

下载地址：https://sourceforge.net/projects/awstats/files/AWStats/7.5/

安装方法：

1 下载安装perl，下载地址l: http://www.activestate.com/activeperl/downloads 

该安装包和普通的windows安装包一样，我们只需要记住该安装包的具体安装路径，例如我的安装路径是：C:\PentestBox\base\strawberry-perl\perl\

2 下载安装awstats：https://sourceforge.net/projects/awstats/files/AWStats/7.5/   #根据个人选择压缩包类型，例如我选择了“ awstats-7.5.zip” 

3 解压该压缩包到：C:\xampp\htdocs\awstats-7.5   #其实就是网站的根目录，例如我网站的根目录为：C:\xampp\htdocs\

4 目录：C:\xampp\htdocs\awstats-7.5 ，该目录下有：REAREADME.md  docs  tools  wwwroot

docs  #该文件夹下有帮助文档，例如awstats.pdf、index.html（该文件可索引到其他HTML，我们可以直接在这里查看任何具体的配置信息。

tools  #该文件夹下有各种扩展工具，例如awstats_updateall.pl 、maillogconvert.pl、 nginx、geoip_generator.pl等配置文件和工具拓展。

wwwroot  #该文件夹下有各种资源配置文件，例如cgi-bin  classes  css  icon  js

REAREADME.md   #该文件是一个整体概况文件，例如包含了版本、功能、安装环境、文件夹的结构目录、作者等等信息。

0x02 配置awstats

1 apache配置

###该种方法是在单独安装apache时使用，因为我使用的是xampp,在这所以这步骤可以省略

在目录”C:\xampp\apache\conf "下 找到文件" httpd.conf "，然后添加

#################################################################################

Alias /awstatsclasses "C:\xampp\htdocs\awstats-7.5\wwwroot\classes"
Alias /awstatscss "C:\xampp\htdocs\awstats-7.5\wwwroot\css"
Alias /awstatsicons "C:\xampp\htdocs\awstats-7.5\wwwroot\icon"
ScriptAlias /awstats/ "C:\xampp\htdocs\awstats-7.5\wwwroot\cgi-bin"
##########################################################################
<Directory "C:\xampp\htdocs\awstats-7.5\wwwroot">
    Options None
    AllowOverride None
    Order allow
    Allow from 127.0.0.1

2 awstats配置

在目录” C:\xampp\htdocs\awstats-7.5\wwwroot\cgi-bin " 下，找到文件" awstats.model.conf "复制该文件为新文件”awstats.localhost.conf "

打开文件" awstats.localhost.conf "，并进行如下操作：

#修改为web 服务器上具体的日志路径

搜索 LogFile="/var/log/httpd/mylog.log" ，然后更改为 LogFile="C:\xampp\apache\logs\access.log"

#命名我的网站为localhost，因为前面有个”awstats.localhost.conf "

搜索 SiteDomain="" ，然后更改为 SiteDomain="localhost"

搜索 AllowToUpdateStatsFromBrowser=0 ,然后更改为 AllowToUpdateStatsFromBrowser=1

搜索 SiteDomain="" ，然后更改为 SiteDomain="localhost"

搜索 Lang="auto" ,然后更改Lang="cn" 

搜索 DirIcons="./icon" ,然后更改DirIcons="../icon"

在目录” C:\xampp\htdocs\awstats-7.5\wwwroot\cgi-bin " 下，找到文件" awstats.pl ",打开该文件

搜索 #!/usr/bin/perl ，然后更改为 #!C:\PentestBox\base\strawberry-perl\perl\bin\perl.exe

在目录” C:\xampp\htdocs\awstats-7.5\tools " 下，找到文件" logresolvemerge.pl ",打开该文件

搜索 #!/usr/bin/perl ，然后更改为 #!C:\PentestBox\base\strawberry-perl\perl\bin\perl.exe

0x03访问awstats

本地访问：http://localhost/awstats-7.5/wwwroot/cgi-bin/awstats.pl

异地访问：http://192.168.254.145/awstats-7.5/wwwroot/cgi-bin/awstats.pl?config=awstats.localhost.conf #192.168.254.145为部署awstats的主机IP地址，awstats.localhost.conf为配置文件。

0x04 安全配置

1 在目录” C:\xampp\htdocs\awstats-7.5\wwwroot\cgi-bin " 下，找到文件" awstats.model.conf "复制该文件为新文件”awstats.localhost.conf "

打开文件" awstats.localhost.conf "，并进行如下操作：

#只允许本地访问，防止外网非法访问。

搜索 AllowAccessFromWebToFollowingIPAddresses="" ，然后更改为 AllowAccessFromWebToFollowingIPAddresses="127.0.0.1"

2.1 在目录” C:\xampp\htdocs\awstats-7.5\ " 新建文件：.htaccess  【新建方式为：新建一个11.txt 文档-->>然后输入下来的内容-->>另存为：".htaccess"（文件名填写这个，并且是包括引号）；当然还有其他各种方式，这个可以百度出来的-关键词：如何在windows下创建一个.htaccess】

AuthType Basic
AuthName "awstats_admin"
require user awstats_admin

2.2 设置密码和账号
C:\xampp\htdocs\awstats-7.5
> htpasswd.exe -bB -c C:\xampp\htdocs\awstats-7.5\awstats_passwd awstats_admin ym2011 #htpasswd.exe -h 查看帮助信息

###
重启apache，这样以后每次访问awstats页面都要求输入正确的用户名(awstats_admin)和口令（ym2011)。

3 只允许本地访问

在目录” C:\xampp\htdocs\awstats-7.5\ " 新建文件：.htaccess  【新建方式为：新建一个11.txt 文档-->>然后输入下来的内容-->>另存为：".htaccess"（文件名填写这个，并且是包括引号）；当然还有其他各种方式，这个可以百度出来的-关键词：如何在windows下创建一个.htaccess】

# Limit access to localhost
<Limit GET POST PUT>
 order deny,allow
 deny from all
 allow from 127.0.0.1
</Limit>

欢迎大家分享更好的思路，热切期待^^_^^ !!！