the beauty of Logparser

Das letzte Kommandozeilen Tool das ich wirklich gut beherrsche ist Logparser. Damit kann man Aktivitäten in IIS Logfiles (und nicht nur dort) analysieren. Der Blog Eintrag zum Thema Open Source hat mehr Feedback erhalten als das komplette Blog in 3 Jahren. Das meiste ist anonym passiert und schlägt sich in der Sternchen Bewertung nieder. Das ist sonderbar und damit eine Betrachtung wert.

image

Mit folgendem Script kann man sich das näher ansehen. (xx ist anonymisiert)

logparser  "select TO_LOWERCASE(cs-uri-stem) as uri,TO_LOCALTIME(date),time, c-ip,
REVERSEDNS(c-ip),cs-uri-query,cs(User-Agent) into x:\…\zugriffe_blograte.txt
from X:\inetpub\logs\LogFiles\W3SVCxx\*.log where cs-uri-stem LIKE
'%%rating.axd%%' " -i:iisw3c -o:CSV

Das Report Textfile lässt sich in Excel importieren bzw öffnen

image

wichtig ist, das Komma als Feld Trennezeichen zu verwenden

image

Ich habe mir per suchen und ersetzen die Daten noch ein wenig reduziert um zb das Rating klar zu sehen.

Was kann man erkennen. Ziemlich viel. Hier z.B. das das zweite Rating von einem Rechner der Firma xxx in Nürnberg kommt.

image

Man kann nun per Xing und Co recherchieren, wer dort arbeitet. Brauch ich nicht. Ich kenn Dich auch so Zwinkerndes Smiley.

Dann gibt's natürlich die vielen Einwahlaccounts wie hier von der Telekom

image

Welche Möglichkeiten hat man nun mehr Information über den 3fach voter zu bekommen?

Da wäre der gute alte Tracert eine Möglichkeit. Das Routing läuft ja über lokale Knoten und diese Router haben meist korrekte DNS Einträge.

image

Der Ipad Benutzer (Browsersignatur) kommt also aus Karlsruhe. Kann man auch verifizieren über entsprechende Dienste http://www.maxmind.com/app/locate_demo_ip?ips=79.220.231.152

Aus der Kombination Ip, Bewertung, Browser Signatur und Provider kann ich so sieben Bewerter verifizieren die öfter als 1x bewertet haben (bis zu 5 mal).

Anhand der Uhrzeit, der Region und der Signatur kann ich mindestens zwei ausfindig machen die sich die Mühe gemacht haben tagsüber im Büro und Abends zuhause ein Rating abzugeben.

image

Da wird es allerdings schon schwieriger. Wechselnde Browser, leeren des Caches, wechselnde IP Adressen und man kann quasi nur mehr anhand Interesse, Region eine Mutmaßung über den Gast angestellten. Gängige Methoden um trotzdem genauer zu wissen, wer was auf seinen Webservern treibt und dabei legal sind, sind Honeypots. Man schickt der Zielperson eine eMail mit Link (kann auch eingebettet sein) und kann anhand dieses Fingerabdruckes dann weiter in seinen Logfiles wühlen.

Kommentare (6) -

Stephan
23.07.2012 14:49:53 #

Hallo,

Dass du Logs speicherst ist eine Sache,
Dass Du Sie auswertest eine andere,
Dass du Teile davon öffentlich machst könnte vielleicht problematisch werden.

Der IPad User könnte ich gewesen sein. zuerst mal auf die Sterne getippt,
Da hatte ich dann schon bewertet ... als ich dann korrigieren wollte
Hieß es, ich Hab schon bewertet.
Dann einen Kommentar getippt. Lies sich aber nicht speichern ...
Mit WIN 8 Tablet ging es dann ...

PS: Ich persönlich Hab keine Probleme damit, dass meine IP gespeichert wird ...

Hannes Preishuber
23.07.2012 15:20:18 #

Hi Stephan,

1)Ein Webserver der nicht loggt was passiert, ist ein Sicherheitsrisiko.
2)ein Admin der auf auffälligkeiten nicht reagiert ist ein Sicherheitsrisiko ( zb plötzlich gößere Logdateien)
3)guter Punkt, hab ich ehrlich gesagt nicht drüber nachgedacht. Personenbezogenes ist ja nicht drin, aber werd nachfragen

Im wesentlich gehts darum, wie einfach Usertracking ist und wie man vorgeht. Die Logauszüge sind halt ein einmalig gutes Beispiel.
Danke für deine Aufklärung

Thomas
23.07.2012 22:07:56 #

Du bietest eine anonyme Bewertungs-Funktion in deinem Blog an, und wunderst dich anschließend über die schlechten Bewertungen? Seltsames Verhalten.

Ich habe übrigens eine einen Stern gegeben (0 Sterne ging ja nicht).

Thomas

Marcell Spies
24.07.2012 02:28:40 #

Hi,

Logs öffentlich zu stellen halte ich schon für weitaus mehr als grenzwertig. Wenn die Daten ordentlich anonymisiert sind, dann natürlich gerne. Aber so?!

Was bringt es bitte den Firmennamen nicht zu nennen, den DNS-Eintrag zu zensieren, aber die IP nebendran stehen zu lassen? Und für jeden der nicht besonders technisch versiert sein sollte, erklärst du glücklicherweise 2 Absätze weiter unten wie man einen Reverse Lookup macht.

Also, wie gesagt. Alle IP-Adressen und Hostnamen zensieren (vor allem die statischen), dann bin ich mit dem Artikel auf jeden Fall einverstanden.

Marcell Spies
24.07.2012 13:04:55 #

Okay, gut. IP-Adresse ist jetzt auch zensiert. Jetzt kann man den Artikel aufs WWW loslassen.

Hannes Preishuber
24.07.2012 13:22:57 #

Marcel, danke fürs konstruktive Feedback. Hast ja recht.

Kommentare sind geschlossen