Logparser é uma ferramenta poderosa e versátil que fornece acesso universal à consulta de dados baseados em texto, como arquivos de log, XML e arquivos CSV arquivos, bem como fontes principais de dados sobre o do sistema operacional Windows, tais como o registo de eventos, o Registro, o sistema de arquivos e Active Directory . Os resultados da consulta de entrada pode ser personalizados em formato de saída baseado em texto, ou podem ser persistentes para aplicações mais especificas, como SQL , SYSLOG , ou um gráfico. LogParser é uma ferramenta de linha de comando, foi incluído com o IIS 6.0 Resource Kit Tools.
As consultas a seguir podem ser executadas com o Log Parser. Em todos os casos (exceto se indicado) a partir e para as declarações devem ser modificada com base em suas necessidades.
200 códigos de status de retorno uma lista de páginas da Web e páginas de referência, que retornou um código de status 200.
Entre os principais erros ao executar, estão a falta de informar o caminho do executável ou algum arquivo. Um ponto importante quando estiver com muitos erros.
LogParser – Exemplos de consultas de para analise
Exemplos que EU USO.
pesquisa uma palavra – LogParser.exe -i:EVT -o:csv “SELECT EventLog,TimeWritten,EventID,SourceName,Message INTO Resultado.csv FROM Application WHERE Message like ‘%PalavraDeBusca%'”pesquisa um ID – LogParser.exe “SELECT EventLog,TimeWritten,EventID,SourceName,Message INTO Resultado.csv FROM application WHERE EventID= 1309”pesquisa um ID remoto – LogParser.exe “SELECT EventLog,TimeWritten,EventID,SourceName,Message INTO Resultado.csv FROM \\Servidor\application WHERE EventID= 1310″pesquisa vários IDs – LogParser.exe “SELECT EventLog,TimeWritten,EventID,SourceName,Message INTO Resultado.csv FROM application WHERE EventID in (1315;1315;1310;1310;1309;1309;1301;781)”Pesquisa um ID e uma palavra juntos – LogParser.exe “SELECT ComputerName,EventLog,TimeWritten,EventID,SourceName,Message INTO Resultado.csv FROM application WHERE EventID in (1310) and Message like ‘%PalavraDeBusca%'”Pesquisa um ID em mais de um servidor – LogParser.exe “SELECT ComputerName,EventLog,TimeWritten,EventID,SourceName,Message INTO Resultado.csv FROM\\Servidor1\application,\\Servidor2\application WHERE EventID in (1309)Pesquisa o top 20 de eventos em ordem decrescente – LogParser.exe “SELECT top 20 ComputerName,EventLog,TimeWritten,EventID,SourceName,Message INTO Resultado.csv FROM application order by TimeWritten descpesquisa um ID e uma palavra remoto – LogParser.exe “SELECT Computer,EventLog,TimeWritten,EventID,SourceName,Message INTO Resultado.csv FROM\\servidor\application WHERE EventID in (1310) and Message like ‘%PalavraDeBusca%'”Pesquisa a quantidade de eventos em cada grupo – LogParser.exe -i:EVT -o:DATAGRID “SELECT EventTypeName, COUNT(*) FROM System GROUP BY EventTypename”Pesquisa o 5 primeiros eventos, exibindo todas as colunas – LogParser.exe -i:EVT -o:DATAGRID “SELECT top 5 * FROM System”pesquisa em ordem decrescente alguns campo do evento 1 – LogParser.exe -i:EVT -o:DATAGRID “SELECT top 10 EventLog,TimeWritten,EventID,SourceName,Message FROM System WHERE EventType=1 ORDER BY TimeWritten DESC”Pesquisa por evento do tipo 1 do log de sistemas, organizando por servidor e data decrescente – logparser “SELECT ComputerName, EventId, EventTypeName, to_string(TimeGenerated, ‘yyyy-MM-dd hh:mm’) AS EventDate, Count(1) as CountEvents FROM system where EventId = 1 GROUP BY ComputerName, EventID, EventTypeName, EventDate ORDER BY EventDate DESC”
LogParser.exe -i:EVT -o:CHART -chartType:BarClustered -view on -chartTitle:”TOP 10 Eventos”SELECT TOP 10 EventTypeName AS [Tipo do Evento], COUNT(*) AS [Total de Ocorrências] INTO Eventos.gif FROM System GROUP BY [Tipo do Evento] ORDER BY [Total de Ocorrências] DESC”LogParser.exe -i:EVT -o:CHART -chartType:Bar3D -view on -chartTitle:”TOP 10 Eventos”SELECT TOP 10 EventTypeName AS [Tipo do Evento], COUNT(*) AS [Total de Ocorrências] INTO Eventos.gif FROM System GROUP BY [Tipo do Evento] ORDER BY [Total de Ocorrências] DESC”LogParser.exe -i:EVT -o:CHART -chartType:Pie -view on -chartTitle:”TOP 10 Eventos”SELECT TOP 10 EventTypeName AS [Tipo do Evento], COUNT(*) AS [Total de Ocorrências] INTO Eventos.gif FROM System GROUP BY [Tipo do Evento] ORDER BY [Total de Ocorrências] DESC”
pesquisa todas as colunas do log do tipo NCSA – LogParser “select top 10 * from c:\temp\LogParser\nc130808.log” -i:ncsaPesquisa e mostra o total de cada pagina chamada (aplicação) – LogParser.exe “SELECT cs-uri-stem, count(*) AS total INTO aplicacoes.csv FROM \\Servidor\C$\Logs\IISLogs\W3SVC1\u_ex131026.log group by cs-uri-stem ORDER BY cs-uri-stem DESC”Pesquisa as 30 primeiras ocorrencias de pagina não encontrada – logparser -i:IISW3C -o:CSV “SELECT TOP 30 sc-status, cs-uri-stem, COUNT (*) AS total INTO ERRO404.csv FROM\\Servidor\C$\Logs\IISLogs\W3SVC1\u_ex131026.log WHERE sc-status=404 GROUP BY cs-uri-stem, sc-status ORDER BY total, cs-uri-stem, sc-status DESC”Pesquisa as 30 primeiras ocorrencias de ERROS 500 – LOGPARSER “SELECT TOP 30 sc-status, cs-uri-stem, COUNT (*) AS total INTO ERROS500.csv FROM \\Servidor\c$\Logs\IISLogs\W3SVC1\u_ex131026.log WHERE sc-status=500 GROUP BY cs-uri-stem, sc-status ORDER BY total, cs-uri-stem, sc-status DESC”Pesquisa os codigos de status junto com a quantidade – logparser “SELECT DISTINCT sc-status AS Status, COUNT(*) AS total INTO HTTPStatus.csv FROM \\Servidor\C$\Logs\IISLogs\W3SVC1\u_ex131026.log GROUP BY Status ORDER BY Status ASC”
Erros 500 por hora – LOGPARSER “SELECT TO_LOCALTIME(QUANTIZE(TO_TIMESTAMP(date, time),3600)) AS Hours, COUNT(*) AS Errors INTO HTTP500Errorsperhours.gif FROM\\Servisor\C$\Logs\IISLogs\W3SVC1\u_ex131026.log WHERE sc-status=500 GROUP BY Hours ORDER BY Hours”
Exemplos que do site logparserplus.com.
Palavras-chave:
- iisw3c
Uso:
| 1 | logparser -rtp:-1 “SELECT cs-uri-stem, cs-uri-query, date, sc-status, cs(Referer) INTO 200sReport.txt FROM ex0902*.log WHERE (sc-status >= 200 AND sc-status < 300) ORDER BY sc-status, date, cs-uri-stem, cs-uri-query” |
300 códigos de status Retorna uma lista de páginas da Web e páginas de referência, que retornou um código de status 300.
Palavras-chave:
- iisw3c
Uso:
| 1 | logparser -rtp:-1 “SELECT cs-uri-stem, cs-uri-query, date, sc-status, cs(Referer) INTO 300sReport.txt FROM ex0902*.log WHERE (sc-status >= 300 AND sc-status < 400) ORDER BY sc-status, date, cs-uri-stem, cs-uri-query” |
400 códigos de status Retorna uma lista de páginas da Web e páginas de referência, que retornou um código de status 400.
Palavras-chave:
- iisw3c
Uso:
| 1 | logparser -rtp:-1 “SELECT cs-uri-stem, cs-uri-query, date, sc-status, cs(Referer) INTO 400sReport.txt FROM ex0811*.log WHERE (sc-status >= 400 AND sc-status < 500) ORDER BY sc-status, date, cs-uri-stem, cs-uri-query” |
400 códigos de status (usando ENTRE) Retorna uma lista de páginas da Web e páginas de referência, que retornou um código de status 400.
Palavras-chave:
- iisw3c
Uso:
| 1 | logparser -rtp:-1 “SELECT cs-uri-stem, cs-uri-query, date, sc-status, cs(Referer) INTO 400sReport.txt FROM ex0811*.log WHERE (sc-status BETWEEN 400 AND 499) ORDER BY sc-status, date, cs-uri-stem, cs-uri-query” |
500 códigos de status Retorna uma lista de páginas da Web e páginas de referência, que retornou um código de status 500.
Palavras-chave:
- iisw3c
Uso:
| 1 | logparser -rtp:-1 “SELECT cs-uri-stem, cs-uri-query, date, sc-status, cs(Referer) INTO 500sReport.txt FROM ex0811*.log WHERE (sc-status >= 500 AND sc-status < 600) ORDER BY sc-status, date, cs-uri-stem, cs-uri-query” |
Largura de banda média por segundo, por meia hora Retorna a largura de banda média, como KBytes por segundo, divididos em blocos de 30 minutos.
Palavras-chave:
- iisw3c
Uso:
| 1 | logparser -i:iis “SELECT TO_LOCALTIME(QUANTIZE(time, 1800)) as HalfHour, ADD(SCKBytesSec, CSKBytesSec) as KBytesSec USING DIV(DIV(MUL(1.0, SUM(sc-bytes)), 1024), 1800) as SCKbytesSec, DIV(DIV(MUL(1.0, SUM(cs-bytes)), 1024), 1800) as CSKBytesSec INTO AvgKBytesPerSec.txt FROM *ex1106*.log GROUP BY HalfHour ORDER BY HalfHour ASC” |
Tempo médio de resposta por meia hora Retorna o tempo médio de resposta, em milissegundos, de uma página em particular (no presente caso. Como * arquivos) quebrado em blocos de 30 minutos.
Palavras-chave:
- iisw3c
Uso:
| 1 | logparser -i:iis “SELECT TO_LOCALTIME(QUANTIZE(time, 1800)) as HalfHour, AVG(time-taken) as Time INTO AvgResponse.txt FROM *ex1107*.log WHERE cs-uri-stem like ‘%.as%’ AND sc-status < 400 GROUP BY HalfHour ORDER BY HalfHour ASC” |
Devoluções de uso de largura de banda (bytes, bem como convertidas em KB e MB) recebidas e enviadas, por data, para um site.
Palavras-chave:
- iisw3c
Uso:
| 1 | logparser -rtp:-1 “SELECT date, SUM(cs-bytes) AS [Bytes received], DIV(SUM(cs-bytes), 1024) AS [KBytes received], DIV(DIV(SUM(cs-bytes), 1024), 1024) AS [MBytes received], SUM(sc-bytes) AS [Bytes sent], DIV(SUM(sc-bytes), 1024) AS [KBytes sent], DIV(DIV(SUM(sc-bytes), 1024), 1024) AS [MBytes sent], COUNT(*) AS Requests INTO Bandwidth.txt FROM ex0811*.log GROUP BY date ORDER BY date” |
O uso da banda por páginas solicitação retorna classificadas por o número total de bytes transferidos, bem como o número total de solicitações e bytes médios.
Palavras-chave:
- iisw3c
Uso:
| 1 | logparser -i:iisw3c -rtp:-1 “SELECT DISTINCT TO_LOWERCASE(cs-uri-stem) AS [Url], COUNT(*) AS [Requests], AVG(sc-bytes) AS [AvgBytes], SUM(sc-bytes) AS [Bytes sent] INTO Bandwidth.txt FROM ex0909*.log GROUP BY [Url] HAVING [Requests] >= 20 ORDER BY [Bytes sent] DESC” |
Uso de banda, com retornos locais datas bytes (assim como convertido em KB e MB) recebidas e enviadas, por data, por um site, com data de solicitação / hora convertido para a hora local.
Palavras-chave:
- iisw3c
Uso:
| 1 | logparser -i:w3c -o:csv “SELECT TO_DATE(TO_LOCALTIME(TO_TIMESTAMP(date, time))) AS [LocalDate], SUM(cs-bytes) AS [Bytes received], DIV(SUM(cs-bytes), 1024) AS [KBytes received], DIV(DIV(SUM(cs-bytes), 1024), 1024) AS [MBytes received], SUM(sc-bytes) AS [Bytes sent], DIV(SUM(sc-bytes), 1024) AS [KBytes sent], DIV(DIV(SUM(sc-bytes), 1024), 1024) AS [MBytes sent], COUNT(*) AS Requests INTO Bandwidth.csv FROM u_ex1102*.log GROUP BY LocalDate ORDER BY LocalDate” |
Navegadores que acessam conteúdo Retorna uma lista de navegadores (agentes), com contagens, que o conteúdo acessado.
Palavras-chave:
- iisw3c
Uso:
| 1 | logparser -rtp:-1 “SELECT cs(User-Agent) AS Browser, COUNT(*) AS Requests INTO BrowserReport.txt FROM ex0811*.log GROUP BY Browser ORDER BY Requests DESC” |
Navegadores que acessam conteúdo, sem sistema operacional (imagem) Retorna uma lista de navegadores que acessam conteúdo como um gráfico de barras, com base no número de solicitações feitas.
Palavras-chave:
- iisw3c
Uso:
| 1 | logparser -i:w3c -o:chart -chartType:barstacked “SELECT CASE strcnt(cs(user-agent),’Firefox’) when 1 THEN ‘Firefox’ else case strcnt(cs(user-agent),’netscape’) when 1 THEN ‘netscape’ else case strcnt(cs(user-agent),’AOL’) when 1 THEN ‘AOL’ else case strcnt(cs(user-agent),’Opera’) when 1 THEN ‘Opera’ else case strcnt(cs(user-agent),’Chrome’) when 1 THEN ‘Chrome’ else case strcnt(cs(user-agent),’Mobile’) when 1 THEN ‘SmartPhone’ else case strcnt(cs(user-agent),’Safari’) when 1 THEN ‘Safari’ else case strcnt(cs(user-agent),’MSIE+5′) when 1 THEN ‘IE 5′ else case strcnt(cs(user-agent),’MSIE+6’) when 1 THEN ‘IE 6′ else case strcnt(cs(user-agent),’MSIE+7’) when 1 THEN ‘IE 7′ else case strcnt(cs(user-agent),’MSIE+8’) when 1 THEN ‘IE 8′ else case strcnt(cs(user-agent),’MSIE’) when 1 THEN ‘IE other’ else case strcnt(cs(user-agent),’bot’) when 1 THEN ‘Bot’ else case strcnt(cs(user-agent),’spider’) when 1 THEN ‘spider’ else case strcnt(cs(user-agent),’PutHTTP’) when 1 THEN ‘PutHTTP’ else case strcnt(cs(user-agent),’Mozilla/4.0′) when 1 THEN ‘Mozilla/4.0 other’ ELSE ‘Unknown’ End End End End End End End End End End End End End End End End as Browser, COUNT(cs(User-Agent)) as Hits INTO Browsers.jpg FROM *ex1107*.log GROUP BY Browser ORDER BY Hits ASC” |
Comprimentos de cookies Retorna comprimentos de cookies, juntamente com o ip eo número de solicitações feitas com esse cookie / ip.
Palavras-chave:
- iisw3c
Uso:
| 1 | logparser -rtp:-1 “SELECT STRLEN(cs(Cookie)) AS [CookieLength], c-ip, COUNT(*) AS [Requests], cs(Cookie) INTO CookieLengths.txt FROM ex0910*.log WHERE cs(cookie) IS NOT null GROUP BY cs(Cookie), c-ip, [CookieLength] ORDER BY [CookieLength] DESC” |
Os dados enviados e recebidos, por tipo de arquivo. Retorna uma lista de tipos de arquivo, bem como a quantidade de dados enviados e recebidos pelo servidor, para cada solicitação.
Palavras-chave:
- iisw3c
Uso:
| 1 | logparser -rtp:-1 “SELECT EXTRACT_EXTENSION(cs-uri-stem) AS [File Type], DIV(SUM(sc-bytes), 1024) AS [Sent (KB)], DIV(SUM(cs-bytes), 1024) AS [Received (KB)] INTO FileTypeDataSentRec.txt FROM ex0812*.log GROUP BY [File Type] ORDER BY [File Type]” |
Domínios referentes tráfego para recursos. Retorna uma lista de domínios que se refere o tráfego para o site.
Palavras-chave:
- iisw3c
Uso:
| 1 | logparser -rtp:-1 “SELECT EXTRACT_TOKEN(cs(Referer), 2, ‘/’) AS [Domain], COUNT(*) AS [Requests] INTO ReferringDomains.txt FROM ex0902*.log GROUP BY [Domain] ORDER BY [Requests] DESC” |
FileZilla Server registra a W3C estendido Converte FileZilla Server registra a W3C formato de log estendido.
Palavras-chave:
- textline
- FileZilla Server
- w3c
Uso:
| 1 | logparser -rtp:-1 -i:TEXTLINE -o:W3C “SELECT SUBSTR(Text, 1, SUB(INDEX_OF(Text, ‘)’), 1)) AS RequestNumber, TO_TIMESTAMP(TRIM(SUBSTR(Text, ADD(INDEX_OF(Text, ‘)’), 1), SUB(INDEX_OF(Text, ‘-‘), ADD(INDEX_OF(Text, ‘)’), 4)))), ‘M/d/yyyy?H:mm:ss’) AS DateTime, TRIM(SUBSTR(TRIM(SUBSTR(Text, ADD(INDEX_OF(Text, ‘-‘), 1), SUB(INDEX_OF(Text, ‘>’), ADD(INDEX_OF(Text, ‘-‘), 1)))), 0, LAST_INDEX_OF(TRIM(SUBSTR(Text, ADD(INDEX_OF(Text, ‘-‘), 1), SUB(INDEX_OF(Text, ‘>’), ADD(INDEX_OF(Text, ‘-‘), 1)))), ‘(‘))) AS User, SUBSTR(TRIM(SUBSTR(Text, ADD(INDEX_OF(Text, ‘-‘), 1), SUB(INDEX_OF(Text, ‘>’), ADD(INDEX_OF(Text, ‘-‘), 1)))), ADD(LAST_INDEX_OF(TRIM(SUBSTR(Text, ADD(INDEX_OF(Text, ‘-‘), 1), SUB(INDEX_OF(Text, ‘>’), ADD(INDEX_OF(Text, ‘-‘), 1)))), ‘(‘), 1), SUB(LAST_INDEX_OF(TRIM(SUBSTR(Text, ADD(INDEX_OF(Text, ‘-‘), 1), SUB(INDEX_OF(Text, ‘>’), ADD(INDEX_OF(Text, ‘-‘), 1)))), ‘)’), ADD(LAST_INDEX_OF(TRIM(SUBSTR(Text, ADD(INDEX_OF(Text, ‘-‘), 1), SUB(INDEX_OF(Text, ‘>’), ADD(INDEX_OF(Text, ‘-‘), 1)))), ‘(‘), 1))) AS IpAddress, SUBSTR(Text, ADD(INDEX_OF(Text, ‘>’), 2), SUB(STRLEN(Text), INDEX_OF(Text, ‘>’))) AS Request INTO FileZilla.log FROM fzs-*.log WHERE Text LIKE ‘(%’ AND Request NOT LIKE ‘Connected,%’ AND Request NOT LIKE ‘221 %’ AND Request NOT LIKE ‘disconnected%’ AND Request NOT LIKE ‘QUIT%'” |
HTTP Status Codes (gráfico) Retorna um gráfico mostrando a porcentagem status da conta para códigos. Requer o Microsoft Office.
Palavras-chave:
- iisw3c
Uso:
| 1 | logparser -o:chart -chartType:Pie -chartTitle:”Status as Percent of Requests” “SELECT sc-status AS [HTTP Status Code], COUNT(*) AS Requests INTO HttpStatusCodePieChart.png FROM ex0811*.log GROUP BY [HTTP Status Code] ORDER BY Requests DESC” |
Códigos de status HTTP (texto) Devolve uma lista de códigos de status HTTP.
Palavras-chave:
- iisw3c
Uso:
| 1 | logparser -rtp:-1 “SELECT sc-status AS [HTTP Status Code], COUNT(*) AS Requests INTO HttpStatusCodes.txt FROM ex0811*.log GROUP BY [HTTP Status Code] ORDER BY Requests DESC” |
Códigos de status HTTP e percentuais de retornos totais uma listagem de códigos de status HTTP com contagens e percentuais por.
Palavras-chave:
- iisw3c
Uso:
| 1 | logparser -rtp:-1 “SELECT sc-status, COUNT(*) AS [Requests], MUL(PROPCOUNT(*), 100) AS [Percentage] FROM ex0902*.log GROUP BY sc-status” |
Códigos de status HTTP e status de sub-Retorna uma listagem de códigos de status e sub-status, com o número de solicitações de retorno cada um.
Palavras-chave:
- iisw3c
Uso:
| 1 | logparser -i:iis “SELECT STRCAT(TO_STRING(sc-status), STRCAT(‘.’, TO_STRING(sc-substatus))) AS Status, Count(*) as Hits INTO StatusCodes.txt FROM *ex1107*.log GROUP BY Status ORDER BY Hits DESC” |
Endereços IP tentando fazer logon em um site FTP IIS 6 Esta consulta vai mostrar o que os endereços IP tentou entrar no seu site FTP, e vai dar uma contagem de quantas vezes.
Palavras-chave:
- iis6ftp
Uso:
| 1 | logparser -rtp:-1 “SELECT c-ip, count(*) INTO FTPIPLoginAttempts.txt FROM ex*.log GROUP BY c-ip ORDER BY count(*), c-ip” |
Endereços IP com sucesso o login no site FTP IIS 6 Esta consulta irá dizer-lhe que os endereços IP conectado corretamente ao seu site FTP.
Palavras-chave:
- iis6ftp
Uso:
| 1 | logparser -rtp:-1 “SELECT c-ip, count(sc-status) INTO FTPSuccessfulIPLogins.txt FROM ex*.log WHERE sc-status = ‘230’ GROUP BY c-ip ORDER BY count(sc-status), c-ip” |
Número de erros por meia hora Retorna o número total de erros, divididos em blocos de 30 minutos.
Palavras-chave:
- iisw3c
Uso:
| 1 | logparser -i:iis “SELECT TO_LOCALTIME(QUANTIZE(time, 1800)) as HalfHour, COUNT(*) as Hits INTO ErrorCount.txt FROM *ex1107*.log WHERE sc-status > 399 GROUP BY HalfHour ORDER BY HalfHour ASC” |
Mensagens por ip por pedidos totais Retorna uma lista de ips que fazem solicitações POST, ordenados por número de postos de. Útil para rastrear usuários tentando fazer spam.
Palavras-chave:
- iisw3c
Uso:
| 1 | logparser -rtp:-1 “SELECT c-ip, COUNT(*) AS [Requests] INTO PostRequests.txt FROM ex0910*.log WHERE cs-method = ‘POST’ GROUP BY c-ip ORDER BY [Requests] DESC” |
Tentativa consulta parâmetro hacking – http:// Retorna uma listagem de endereços IP que podem estar fazendo uma tentativa de invasão por meio de um endereço de site.
Palavras-chave:
- iisw3c
Uso:
| 1 | logparser -rtp:-1 -o:w3c “SELECT c-ip, COUNT(*) AS [Requests] INTO QueryParams-1c.log FROM ex0910*.log WHERE cs-uri-query IS NOT null and STRCNT(TO_LOWERCASE(cs-uri-query), ‘http://‘) > 0 GROUP BY c-ip ORDER BY [Requests] DESC” |
Os parâmetros de consulta com contagens Retorna uma lista de parâmetros de consulta passados para as páginas, com o número de vezes que tais pedidos foram feitos. Útil para ter uma idéia sobre se as tentativas de invasão estavam sendo feitos.
Palavras-chave:
- iisw3c
Uso:
| 1 | logparser -rtp:-1 -o:w3c “SELECT cs-uri-query, COUNT(*) AS [Requests] INTO QueryParams-1b.log FROM ex0910*.log WHERE cs-uri-query IS NOT null GROUP BY cs-uri-query ORDER BY cs-uri-query” |
Os parâmetros de consulta com contagens e ips Retorna uma lista de parâmetros de consulta passados para as páginas, juntamente com o número de vezes que os endereços IP fez esses pedidos.
Palavras-chave:
- iisw3c
Uso:
| 1 | logparser -rtp:-1 -o:w3c “SELECT cs-uri-query, COUNT(*) AS [Requests], c-ip INTO QueryParams-1a.log FROM ex0910*.log WHERE cs-uri-query IS NOT null GROUP BY cs-uri-query, c-ip ORDER BY cs-uri-query” |
Solicite métodos com agente ip e usuário Esta consulta pega todos os pedidos de método, excluindo comum GETs e POSTs. Retorna o endereço IP e os agentes do utilizador, com contagem para cada um, para determinar se algum vulnerabilidades de teste.
Palavras-chave:
- iisw3c
Uso:
| 1 | logparser -i:w3c -o:w3c “SELECT cs-method, c-ip, cs(User-Agent), COUNT(*) AS [Requests] INTO requestMethods.log FROM u_ex1010*.log WHERE cs-method NOT IN (‘GET’;’POST’) GROUP BY cs-method, c-ip, cs(User-Agent) ORDER BY cs-method, Requests” |
Tempo de requisição Retorna o número de vezes que uma página em particular (no presente caso. Como * arquivos) foi atingido, com a média, mínimo, e do tempo o máximo tomados, junto com o desvio-padrão.
Palavras-chave:
- iisw3c
Uso:
| 1 | logparser -i:iisw3c -o:csv “SELECT TO_LOWERCASE(cs-uri-stem) AS csUriStem, COUNT(*) AS Hits, DIV ( MUL(1.0, SUM(time-taken)), Hits ) AS AvgTime, SQRROOT ( SUB ( DIV ( MUL(1.0, SUM(SQR(time-taken)) ), Hits ) , SQR(AvgTime) ) ) AS StDev, Max(time-taken) AS Max, Min(time-taken) AS Min, TO_REAL(STRCAT(TO_STRING(sc-status), STRCAT(‘.’, TO_STRING(sc-substatus)))) AS Status, Min(TO_LOCALTIME(date)) AS LastUpdate INTO TimeTaken.csv FROM *ex1106*.log WHERE cs-uri-stem like ‘%.as%’ GROUP BY TO_LOWERCASE(cs-uri-stem), TO_REAL(STRCAT(TO_STRING(sc-status), STRCAT(‘.’, TO_STRING(sc-substatus)))) HAVING COUNT(*) > 2” |
Os pedidos por tipo de arquivo (extensão). Retorna uma lista de tipos de arquivos eo número total de pedidos.
Palavras-chave:
- iisw3c
Uso:
| 1 | logparser -rtp:-1 “SELECT EXTRACT_EXTENSION(cs-uri-stem) AS [File Type], COUNT(*) AS [Requests] INTO FileTypeRequests.txt FROM ex0812*.log GROUP BY [File Type] ORDER BY [Requests] DESC” |
Pedidos por meia hora número total de pedidos, divididos em blocos de 30 minutos.
Palavras-chave:
- iisw3c
Uso:
| 1 | logparser -i:iis “SELECT TO_LOCALTIME(QUANTIZE(time, 1800)) as HalfHour, COUNT(*) as Hits INTO HalfHourRequestCount.txt FROM *ex1107*.log GROUP BY HalfHour ORDER BY HalfHour ASC” |
Os pedidos por hora (usando to_string) Retorna uma lista de pedidos por hora, em todos os dias, através da conversão de uma hora para um string.
Palavras-chave:
- iisw3c
Uso:
| 1 | logparser -rtp:-1 “SELECT TO_STRING(time, ‘hh’) AS [Hour], COUNT(*) AS [Requests], MUL(PROPCOUNT(*), 100) AS [PercentOfTotal] INTO HourlyReport.txt FROM ex0902*.log GROUP BY [Hour] ORDER BY [Hour]” |
Os pedidos por hora (usando to_time) Retorna uma lista de pedidos por hora, em todos os dias, convertido para a hora local.
Palavras-chave:
- iisw3c
Uso:
| 1 | logparser -rtp:-1 “SELECT TO_TIME(TO_LOCALTIME(QUANTIZE(TO_TIMESTAMP(date, time), 3600))) AS [Hour], COUNT(*) AS [Requests], MUL(PROPCOUNT(*), 100) AS [PercentOfTotal] INTO HourlyReport.txt FROM ex0902*.log GROUP BY [Hour] ORDER BY [Hour]” |
Os pedidos por hora por dia Retorna uma lista de pedidos por hora, por dia, convertido para a hora local.
Palavras-chave:
- iisw3c
Uso:
| 1 | logparser -rtp:-1 “SELECT TO_LOCALTIME(QUANTIZE(TO_TIMESTAMP(date, time), 3600)) AS [DateTime], COUNT(*) AS [Requests] INTO HourlyDayReport.txt FROM ex0902*.log GROUP BY [DateTime] ORDER BY [DateTime]” |
Pedidos por segundo para processar Número de pedidos que tiveram segundo como o X para processo, arredondado para o segundo mais próximo.
Palavras-chave:
- iisw3c
Uso:
| 1 | logparser -i:iisw3c -o:csv “SELECT ADD(DIV(QUANTIZE(time-taken, 1000), 1000), 1) AS [Seconds], COUNT(*) AS [Requests] INTO RequestProcessingTimes.csv FROM ex0906*.log GROUP BY [Seconds] ORDER BY [Seconds] DESC” |
Pedidos por segundo para o processo, com percentuais Número de pedidos, que teve como segundo x de processo, arredondado para o segundo mais próximo, com a porcentagem de pedidos que é.
Palavras-chave:
- iisw3c
Uso:
| 1 | logparser -rtp:-1 -i:iisw3c “SELECT ADD(DIV(QUANTIZE(time-taken,1000),1000),1) AS [Seconds], COUNT(*) AS [Requests], MUL(PROPCOUNT(*),100) AS [Percent] INTO RequestTimes.txt FROM ex1003*.log GROUP BY [Seconds] ORDER BY [Seconds]” |
Os pedidos de robots.txt com agente ip e usuário Esta consulta agarra todas as solicitações para o arquivo robots.txt, saída de endereço IP e os agentes do utilizador, com contagens para cada um.
Palavras-chave:
- iisw3c
Uso:
| 1 | logparser -i:w3c -o:xml “SELECT c-ip AS [ClientIp], cs(user-agent) AS [ClientUserAgent], COUNT(*) AS [Requests] INTO robots.xml FROM u_ex1009*.log WHERE cs-uri-stem = ‘/robots.txt’ GROUP BY ClientIp, ClientUserAgent ORDER BY ORDER BY Requests DESC” |
Pedidos nos últimos 15 minutos Puxe uma lista de pedidos nos últimos 15 minutos.
Palavras-chave:
- iisw3c
Uso:
| 1 | logparser -rtp:-1 -i:iisw3c “SELECT TO_LOCALTIME(TO_TIMESTAMP(date, time)) AS [LocalTime], * INTO RecentRequests.txt FROM ex1008*.log WHERE LocalTime > SUB(TO_LOCALTIME(SYSTEM_TIMESTAMP()), TIMESTAMP(‘0000-01-01 00:15’, ‘yyyy-MM-dd HH:mm’))” |
Os pedidos por dia Retorna uma lista de datas com o número total de pedidos.
Palavras-chave:
- iisw3c
Uso:
| 1 | logparser -rtp:-1 “SELECT TO_STRING(TO_LOCALTIME(TO_TIMESTAMP(date, time)), ‘yyyy-MM-dd’) AS [Day], COUNT(*) AS [Requests] INTO DayReport.txt FROM ex1003*.log GROUP BY [Day] ORDER BY [Day]” |
Os pedidos, largura de banda e última visita, por endereço IP e agente do usuário. Retorna uma listagem de rquests, largura de banda e última visita, por endereço IP único e agente do usuário.
Palavras-chave:
- iisw3c
Uso:
| 1 | logparser -rtp:-1 “SELECT COUNT(*) AS [Requests], DIV(DIV(SUM(cs-bytes), 1024), 1024) AS [MBytes received], DIV(DIV(SUM(sc-bytes), 1024), 1024) AS [MBytes sent], c-ip AS [IP Address], cs(User-Agent) AS [User agent], MAX(date) AS [Last visit] INTO IpAddress.txt FROM ex0811*.log GROUP BY [IP Address], [User agent] ORDER BY [Requests] DESC” |
Contas de usuário usado no IIS 6 FTP login tenta A consulta seguinte Log Parser podem ser usados em arquivos de log FTP, a fim de determinar quais os nomes de usuário foram usadas para fazer o login, ou tentativa de fazer o login, para um site FTP.
Palavras-chave:
- iis6ftp
Uso:
| 1 | logparser -rtp:-1 “SELECT cs-uri-stem, count(cs-method) INTO FTPUserAccountAttempts.txt FROM ex*.log WHERE cs-method like ‘%USER’ GROUP BY cs-uri-stem ORDER BY count(cs-method), cs-uri-stem” |
Usuários logados no site FTP IIS 6 do IIS 6 Analisa os logs de FTP para contas de usuário que se logou com sucesso, e retorna o IP (s) utilizado eo número de vezes que logados em os IPs.
Palavras-chave:
- iis6ftp
Uso:
| 1 | logparser -rtp:-1 “SELECT cs-username, c-ip, count(*) INTO FTPUsersLoggedIn.txt FROM ex1008*.log WHERE sc-status = ‘230’ GROUP BY cs-username, c-ip ORDER BY count(*), cs-username, c-ip” |
Fonte: http://logparserplus.com/
Aquele Abraço
![DSC02779.1 [800x600]](https://i0.wp.com/maurivan.com.br/wp-content/uploads/2011/02/dsc02779-1-800x6001.jpg?w=209&h=209&crop=1&ssl=1 "DSC02779.1 [800x600]")
![DSC08119 [800x600]](https://i0.wp.com/maurivan.com.br/wp-content/uploads/2011/07/dsc08119-800x600.jpg?w=209&h=209&crop=1&ssl=1 "DSC08119 [800x600]")
![DSC07630.4 [800x600]](https://i0.wp.com/maurivan.com.br/wp-content/uploads/2011/05/dsc07630-4-800x600.jpg?w=209&h=209&crop=1&ssl=1 "DSC07630.4 [800x600]")
![DSC07509 [800x600]](https://i0.wp.com/maurivan.com.br/wp-content/uploads/2013/02/dsc07509-800x600.jpg?w=209&h=209&crop=1&ssl=1 "DSC07509 [800x600]")
![DSC06945 [800x600]](https://i0.wp.com/maurivan.com.br/wp-content/uploads/2011/05/dsc06945-800x600.jpg?w=209&h=209&crop=1&ssl=1 "DSC06945 [800x600]")
![IMG_0523 [800x600]](https://i0.wp.com/maurivan.com.br/wp-content/uploads/2011/06/img_0523-800x600.jpg?w=209&h=209&crop=1&ssl=1 "IMG_0523 [800x600]")
![DSC03402 [800x600]](https://i0.wp.com/maurivan.com.br/wp-content/uploads/2011/02/dsc03402-800x600.jpg?w=209&h=209&crop=1&ssl=1 "DSC03402 [800x600]")
![DSC02779.1 [800x600]](https://i0.wp.com/maurivan.com.br/wp-content/uploads/2013/02/dsc02779-1-800x600.jpg?w=209&h=209&crop=1&ssl=1 "DSC02779.1 [800x600]")
Blog do Maurivan 