AWStats 7.1.1 發布，Web 日志分析工具

　　Log日志分析工具Awstats發布7.1.1 2013-03-08。上個版本是2012-12-08的7.1.此版本增加了Windows 8掃描，增加了%time5的ISO日期格式，并修正了perl 5.14的Bug.

　　AWStats 是一個免費的強大而有個性的工具,帶來先進的網絡,流量，FTP或郵件服務器統計圖. 本日志分析器作為CGI或從命令行在數個圖形網頁中顯示你日志中包含的所有可能信息. 它利用一部分檔案資料就能經常很快地處理大量日志檔案, 它能分析日志文件來自從各大服務器工具 網站日志分析工具 ,如 Apache日志檔案 s (NCSA combined/XLF/ELF log format or common/CLF log format), WebStar, IIS (W3C的日志格式)及許多其他網站,Proxy(代理服務器)、Wap、流量服務器、郵件服務器和一些 FTP服務器 .

　　為什么需要專業的日志審計與分析工具

　　當今的企業和組織在IT信息安全領域面臨比以往更為復雜的局面。這既有來自于企業和組織外部的層出不窮的入侵和攻擊，也有來自于企業和組織內部的違規和泄漏。

　　為了不斷應對新的安全挑戰，企業和組織先后部署了防病毒系統、防火墻、入侵檢測系統、漏洞掃描系統、UTM，等等，這些復雜的IT資源及其安全防御設施、包括網絡設備、系統及應用在運行過程中不斷產生大量的日志和事件。這些日志對于網絡的正常運營非常重要，它記錄了系統每天發生各種各樣的事情，你可以通過它來檢查錯誤發生的原因，監控用戶的使用行為，發現異常情況或者受到攻擊時攻擊者留下的痕跡。

　　盡管審查日志可以幫助管理人員發現很多安全入侵和違規行為，但是由于這項工作對于管理人員的專業技術水平較高，往往很難普及，大多數情況下只能作為專業安全服務公司提供的一項服務。

　　此外，從信息與網絡安全的發展趨勢來看，網絡攻擊的手段越來越多樣化，并且攻擊手法越來越隱蔽，并且攻擊者可以借助不同的技術手段設置多重跳板，追查變得無比困難網站日志分析助手。從企業和組織內部來看，各類IT資源，設備飛速膨脹，設備本身產生的日志數量也呈指數級增長，且設備的日志審計都相對孤立，無法形成有效的關聯，其單獨的日志分析結果對安全問題沒有太大幫助，而海量日志的產生也使分析成為空想，導致日志只能簡單丟棄，使網絡安全的檢測與審計變為空談。

　　可以說，當前復雜的業務網絡環境使得即便是有經驗的安全專家也難以透過傳統的日志審查方式去審計網絡安全，而必須借助提高日志審計效率的外部工具。

　　針對上述挑戰，網絡上出現了各種日志收集、分析和審計工具，并且很多是開源和免費的。那么，這些免費的日志審計工具，甚至是一些功能簡單的商業產品，是否能滿足日常的日志審計和分析需要呢？

　　在回答這個問題之前，先讓我們來看看一個日志審計系統應該由那幾部分組成。

　　對于一個日志審計系統，從功能組成上至少應該包括信息采集、信息分析、信息存儲、信息展示四個基本功能：

　　1)信息采集功能：系統能夠通過某種技術手段獲取需要審計的日志信息。對于該功能，關鍵在于采集信息的手段種類、采集信息的范圍、采集信息的粒度（細致程度）。

　　2)信息分析功能：是指對于采集上來的信息進行分析、審計。這是日志審計系統的核心，審計效果好壞直接由此體現出來。在實現信息分析的技術上，簡單的技術可以是基于數據庫的信息查詢和比較；復雜的技術則包括實時關聯分析引擎技術，采用基于規則的審計、基于統計的審計、基于時序的審計網站日志分析助手，以及基于人工智能的審計算法，等等。

　　3)信息存儲功能：對于采集到原始信息，以及審計后的信息都要進行保存，備查，并可以作為取證的依據。在該功能的實現上，關鍵點包括海量信息存儲技術、以及審計信息安全保護技術。

　　4)信息展示功能：包括審計結果展示界面、統計分析報表功能、告警響應功能、設備聯動功能，等等。這部分功能是審計效果的最直接體現，審計結果的可視化能力和告警響應的方式、手段都是該功能的關鍵。

　　在了解了日志審計系統的基本組成之后，我們可以來看看免費和簡單的商業日志審計工具在以上基本功能點上的表現：

　　1）從日志的收集方面看，這些工具和產品支持的手段比較單一，僅支持一些常用的方式如Syslog、SNMP。手段單一會造成有些日志信息無法采集，例如對存放在數據庫或者文件中的日志就不能很好的收集。另外，這類工具收集的性能也比較低，日志量一大，就無法處理了。

　　2）從日志的存儲方式看網站日志分析助手，這些工具和產品一般把收集來的日志重新存成文本格式，而又沒有搜索引擎作為支撐，因此，無論查詢和分析都非常困難。這類工具和產品也無法提供歸檔和恢復功能，對長時間的日志保存提供不了方案。

　　3）在日志分析方面，想要通過這些工具和產品來發現攻擊進行報警就更困難了。例如我們要發現在一段時間內某用戶重復多次登錄同一臺服務器都失敗的日志告警，這是一個不特定的告警條件，沒有明確的用戶名，沒有明確的服務器地址，達到條件的都需告警，對一般的日志工具和產品來說這根本是完成不了的任務。

　　4）作為簡易的日志審計工具，主要功能在于提供一個低成本的日志收集方案，存儲、分析和展示能力都大大弱化了。這些日志審計工具一般都缺少易用的操控界面，只提供基于條件組合的查詢，并且都以表格的形式一行行地將符合條件的日志顯示出來，只能稱得上是日志查找。一旦日志量大了，條件復雜了，查找效率便無法保證。

　　事實上，在我們參與的日志審計及IT內控項目中，大部分客戶之前都或多或少地采用了一些免費的和簡易的日志采集分析工具。而由于網絡環境的日益復雜，以及來自外部的IT內控與合規審計需求日趨強烈，這些客戶都無一例外地轉而尋求獲得更加專業的商業解決方案。

　　可以說，免費的或者簡易的日志審計工具一般用于小規模的日志采集和存儲的場合，以及一些進行輔助性日志收集的場合。對于關鍵業務信息系統和網絡的日志信息，對于用來做合規審計的日志信息，對于海量的日志信息，對于異構環境下的多源日志信息，簡易日志工具都難以勝任，此時的日志審計和分析必須使用專業的日志審計和分析工具。