1.網(wǎng)站日志格式類型網(wǎng)站日志記錄了服務器接收到的請求以及服務器的響應信息，是分析網(wǎng)站性能、用戶行為、安全狀況等的重要數(shù)據(jù)來源。常見的網(wǎng)站日志格式類型主要包括以下幾種：

1.1通用日志格式（Common Log Format，CLF）●簡介：這是最基礎、最常用的日志格式，由 W3C 提出，被大多數(shù) Web 服務器軟件支持。●字段組成：○遠程主機（Remote Host）：發(fā)起請求的客戶端主機名或 IP 地址。○遠程用戶名（Remote Logname）：如果服務器啟用了身份驗證，這里會記錄用戶名；否則顯示為“-”。○認證用戶名（Auth User）：與遠程用戶名類似，在認證過程中記錄用戶名。○請求日期和時間（Date and Time of Request）

：記錄請求發(fā)生的日期和時間，格式通常為 [

day/month/year:hour:minute:second zone]。 ○請求方法（Request）：客戶端使用的 HTTP 請求方法，如 GET、POST 等。○請求的資源（Requested Resource）：客戶端請求的網(wǎng)頁或文件路徑。○協(xié)議版本（Protocol Version）：客戶端使用的 HTTP 協(xié)議版本，如 HTTP/1.1。○狀態(tài)碼（Status Code）：服務器返回給客戶端的 HTTP 狀態(tài)碼，如 200 表示成功，404 表示未找到頁面。○發(fā)送的字節(jié)數(shù)（Bytes Sent）：服務器發(fā)送給客戶端的字節(jié)數(shù)。●示例：192.168.1.1 - - [10/Oct/2023:13:55:36 +0800] "GET /index.html HTTP/1.1" 200 2326

1.2. 組合日志格式（Combined Log Format）●簡介：在通用日志格式的基礎上進行了擴展，增加了更多有用的信息，是目前最常用的日志格式之一。●字段組成：在通用日志格式的基礎上增加了以下兩個字段：○引用頁（Referrer）：記錄用戶是從哪個頁面鏈接到當前請求的頁面的。如果用戶直接輸入網(wǎng)址訪問，則該字段為“-”。○用戶代理（User Agent）：記錄客戶端使用的瀏覽器、操作系統(tǒng)等信息。●示例：192.168.1.1 - - [10/Oct/2023:13:55:36 +0800] "GET /index.html HTTP/1.1" 200 2326 "https://www.example.com/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36"

1.3. W3C 擴展日志格式（W3C Extended Log File Format）●簡介：由 W3C 制定的一種可擴展的日志格式，用戶可以根據(jù)需要自定義日志字段。●特點：○靈活性高：用戶可以自由選擇要記錄的字段，以滿足不同的分析需求。○結(jié)構(gòu)化：采用鍵值對的形式記錄日志信息，便于計算機處理和分析。●常見字段：○date：請求的日期。○time：請求的時間。○c-ip：客戶端 IP 地址。○cs-username：客戶端用戶名。○cs-method：HTTP 請求方法。○cs-uri-stem：請求的資源路徑。○cs-uri-query：請求中的查詢字符串。○sc-status：HTTP 狀態(tài)碼。○sc-bytes：服務器發(fā)送的字節(jié)數(shù)。○cs(User-Agent)：用戶代理信息。○cs(Referer)：引用頁。●示例：

#Software: Microsoft Internet Information Services 10.0

#Version: 1.0

#Date: 2023-10-10 13:55:36

#Fields: date time c-ip cs-method cs-uri-stem sc-status sc-bytes cs(User-Agent) cs(Referer)

2023-10-10 13:55:36 192.168.1.1 GET /index.html 200 2326 Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36 https://www.example.com/

1.4. NCSA 擴展日志格式（NCSA Extended/Combined Log Format）●簡介：NCSA（National Center for Supercomputing Applications）提出的擴展日志格式，是組合日志格式的前身。●字段組成：與組合日志格式類似，但在字段的表示和順序上可能略有不同，不同的服務器軟件實現(xiàn)可能會有一些差異。●示例：192.168.1.1 - - [10/Oct/2023:13:55:36 +0800] "GET /index.html HTTP/1.1" 200 2326 "https://www.example.com/" "Mozilla/5.0"

1.5. 自定義日志格式●簡介：許多 Web 服務器軟件（如 Apache、Nginx）允許用戶自定義日志格式，以滿足特定的業(yè)務需求。●實現(xiàn)方式：用戶可以通過配置文件指定要記錄的字段以及字段的順序和格式。●示例（Apache 自定義日志格式）： 在 Apache 的配置文件中，可以使用 LogFormat 指令定義自定義日志格式，然后使用 CustomLog 指令指定日志文件的路徑和使用的日志格式。

上述配置定義了一個名為 my_custom_format 的自定義日志格式，其中 %D 是 Apache 特有的字段，表示處理請求所花費的時間（以微秒為單位）。

2.網(wǎng)站日志文件網(wǎng)站日志文件的位置取決于所使用的Web服務器軟件以及服務器配置。以下是一些常見的Web服務器及其默認日志文件位置：

2.1.Apache HTTP Server

訪問日志：通常位于

/var/log/apache2/access.log 或 /var/log/httpd/access_log

錯誤日志：通常位于

/var/log/apache2/error.log 或 /var/log/httpd/error_log 請注意，根據(jù)不同的Linux發(fā)行版或Apache的安裝方式，路徑可能會有所不同?？梢酝ㄟ^查看Apache的配置文件（通常是httpd.conf或者在/etc/apache2/目錄下的相關(guān)配置文件）來確認具體的日志文件位置。

2.2Nginx訪問日志：默認情況下，Nginx的訪問日志位于/var/log/nginx/access.log錯誤日志：錯誤日志一般位于/var/log/nginx/error.log同樣地，這些路徑也可能因為不同的安裝和配置而有所變化?？梢栽贜ginx的主配置文件（通常是nginx.conf）中找到確切的日志文件路徑設置。

2.3Microsoft IIS (Internet Information Services)IIS的日志文件存儲位置可以通過IIS管理器進行配置，默認情況下它們可能被存放在如下路徑：C:\inetpub\logs\LogFiles

3.常用日志分析方法

3.1網(wǎng)站訪問頻率分析獲取access_log文件并將其重命名為a.txt文件。

3.1.1查看訪問服務器的IP

1.使用 cut 命令提取 IP

cat a.txt | cut -d " " -f 1 | sort -u

2.使用 awk 命令提取 IP（更簡潔）

cat a.txt | awk {print $1} | sort -u

說明：

cat a.txt：查看日志文件 a.txt 的內(nèi)容。

cut -d " " -f 1：以空格為分隔符，提取每行的第一個字段（假設第一個字段是 IP 地址）。

awk {print $1}：默認以空格為分隔符，提取每行的第一個字段。

sort -u：對提取出的 IP 地址進行排序并去重，得到所有唯一的訪問者 IP。

3.1.2篩選出攻擊者 IP（高頻率訪問 IP）

1.統(tǒng)計每個 IP 的訪問次數(shù)

cat a.txt | awk {print $1} | sort | uniq -c | sort -nr

cat a.txt | awk {print $1} | sort | uniq -c

說明：

●awk {print $1}：提取 IP 地址。

●sort：對 IP 地址進行排序，以便 uniq -c 能夠正確統(tǒng)計相鄰的相同 IP 的數(shù)量。

●uniq -c：統(tǒng)計每個 IP 出現(xiàn)的次數(shù)。

●sort -nr：按照訪問次數(shù)從高到低進行排序，方便快速發(fā)現(xiàn)高頻率訪問的 IP。

2.通過閾值進行篩選

可以設置一個閾值，比如訪問次數(shù)超過 100 次的 IP 才被認為是可疑的攻擊者 IP。

cat a.txt | awk {print $1} | sort | uniq -c | awk $1 > 100 {print $1, $2}

3.1.3篩選攻擊者行為

1.查看攻擊者所有請求

cat a.txt | grep 111.200.195.77

使用 grep 命令篩選出包含指定 IP 地址（111.200.195.77）的所有日志行。

2.提取攻擊者請求的響應信息cat a.txt | grep 111.200.195.77 | awk -F "] " {print $2}

說明：以 "] " 為分隔符，提取每行中 "] " 后面的內(nèi)容，即請求的響應信息

3.查看攻擊者是否成功（檢查 HTTP 狀態(tài)碼）

說明：在提取出的響應信息中，進一步篩選出包含 HTTP 狀態(tài)碼 200 的行，判斷攻擊者的請求是否成功。

cat a.txt | grep 111.200.195.77 | awk -F "] " {print $2} | grep 200

3.2特征字符分析根據(jù)攻擊者利用的漏洞特征，進行判斷攻擊者使用的是哪一種攻擊。

3.2.1SQL 注入攻擊1.攻擊原理攻擊者通過在應用程序的輸入字段中插入惡意的 SQL 代碼，試圖欺騙數(shù)據(jù)庫服務器執(zhí)行非授權(quán)的 SQL 語句，從而獲取、修改或刪除數(shù)據(jù)庫中的數(shù)據(jù)。2.日志特征（1）異常的輸入?yún)?shù)：日志中會出現(xiàn)包含特殊字符（如單引號、分號等）和 SQL 關(guān)鍵字（如 SELECT、INSERT、UPDATE、DELETE 等）的請求參數(shù)。例如：■sql1.php?name=admin（字符型注入測試）■sql2.php?id=1 and 1=1（數(shù)字型注入測試）■sql2.php?id=1 and sleep(5)（時間盲注測試）（2）請求頻率異常：攻擊者可能會對同一個頁面進行多次請求，嘗試不同的注入?yún)?shù)。（3）數(shù)據(jù)庫錯誤信息：如果應用程序沒有正確處理數(shù)據(jù)庫錯誤，日志中可能會記錄數(shù)據(jù)庫返回的錯誤信息，如 SQL 語法錯誤、權(quán)限錯誤等。3.特征字符分析（1）報錯注入特征字符：、and、or、sleep()、floor()、extractvalue()、updatexml() 等。例如，請求中包含 sql1.php?name=admin and 1=1 可能是布爾盲注的嘗試。（2）聯(lián)合查詢注入特征字符：union select、order by。例如，請求中包含 union select 1,2,3 from users 可能是聯(lián)合查詢注入。（3）數(shù)據(jù)庫類型判斷特征字符：不同數(shù)據(jù)庫有特定的判斷語句，如 and (select count (*) from sysobjects)>0 用于判斷 SQLSERVER 數(shù)據(jù)庫。4.提取包含sql注入特征的access_log日志

grep -iE "|(and|or|select|insert|update|delete|drop|union|order by)[[:space:]/]|sleep\(|benchmark\(|floor\(.*rand|updatexml|extractvalue" access_log >

sql_injection_candidates.txt

3.2.2XSS 跨站腳本攻擊

1.攻擊原理

跨站腳本（XSS）攻擊是指攻擊者在網(wǎng)頁中注入惡意腳本代碼，當其他用戶訪問該網(wǎng)頁時，惡意腳本會在用戶的瀏覽器中執(zhí)行，從而竊取用戶的敏感信息或控制用戶的瀏覽器。

2.日志特征

異常的輸入內(nèi)容：日志中會出現(xiàn)包含 JavaScript 代碼、HTML 標簽等特殊內(nèi)容的請求參數(shù)。例如：

請求來源可疑：攻擊者可能會通過一些特定的網(wǎng)站或工具發(fā)起 XSS 攻擊請求，日志中可能會記錄這些可疑的來源。

用戶行為異常：如果攻擊成功，可能會導致用戶的瀏覽器出現(xiàn)異常行為，如頻繁的頁面跳轉(zhuǎn)、彈出窗口等，這些行為可能會在日志中有所體現(xiàn)。

3.特征字符分析

（1）標簽特征字符： 是明顯的 XSS 攻擊代碼。

（2）觸發(fā)事件特征字符：oninput、onload、oncut、onclick、onerror、onmouseover 等。例如， 利用了 onerror 事件觸發(fā) XSS 攻擊。

（3）惡意代碼特征字符：prompt、confirm、alert、javascript、eval、expression、window.location 等。例如，javascript:alert(XSS) 是常見的 XSS 攻擊代碼

4.分析命令

grep -iE (<(script|img|svg|body|input|a|iframe)[^>]*>|on(error|load|click|mouseover|input|cut)|prompt\(|confirm\(|eval\(|expression\(|window\.location|javascript:|data:) access.log/access_log

3.3.3惡意文件上傳1.攻擊原理攻擊者通過上傳惡意文件到網(wǎng)站服務器，從而獲取服務器的控制權(quán)限或執(zhí)行惡意代碼。2.日志特征（1）上傳請求特征日志中會出現(xiàn)包含 upload、file 等字樣的請求，且請求方法通常為 POST。例如：■POST /upload.php HTTP/1.1■POST /file.php HTTP/1.1（2）文件類型異常：攻擊者可能會上傳一些非法的文件類型，如 .php、.asp、.jsp 等可執(zhí)行文件。（3）后續(xù)操作可疑：在文件上傳后，日志中可能會出現(xiàn)一些可疑的訪問請求，如訪問上傳的文件路徑、執(zhí)行文件中的代碼等。3.特征字符分析（1）上傳頁面特征字符：請求中包含 upload、file 等字樣，如 upload.php、file.php。（2）文件參數(shù)特征字符：請求參數(shù)中包含 file、filename 等字樣，如 file=test.php。（3）文件內(nèi)容特征字符：如果日志中記錄了文件內(nèi)容，可能會出現(xiàn)一些惡意代碼，如 <?php eval($_POST@[cmd]);?>（一句話木馬）。4.分析命令

grep -iE POST /.*(upload|file)|\.(php|asp|jsp)(\W|$)|(eval\(|system\(|exec\(|base64_decode).*\$\w+\\]\) access.log >

upload_attack_candidates.txt 參數(shù)說明：-i：忽略大小寫（如 .PHP、Upload 也能匹配）合并三類核心特征檢測：上傳請求特征：匹配包含 POST /upload.php、POST /file 等路徑的請求POST /.*(upload|file)非法文件類型：檢測 .php、.asp、.jsp 等可執(zhí)行文件擴展名（支持參數(shù)中的 filename=test.php 或路徑中的 /uploads/test.php）\.(php|asp|jsp)(\W|$) # \W 匹配非單詞字符（如空格、引號），$ 匹配字符串結(jié)束惡意代碼特征：匹配 eval($_POST@[...])、system()、exec()、base64_decode() 等危險函數(shù)(eval\(|system\(|exec\(|base64_decode).*\$\w+[\]]\) # 匹配動態(tài)變量如 $_POST@[cmd]

3.3.4一句話木馬1.攻擊原理一句話木馬是一種簡短的惡意代碼，通常只有一行，攻擊者通過將其上傳到網(wǎng)站服務器，從而獲取服務器的控制權(quán)限。2.日志特征

（1）可疑文件名：日志中可能會出現(xiàn)一些名字可疑的文件，如帶日期字樣的頁面（20250429.php）、一串隨機值的頁面（a3b2c1.php）等，且文件擴展名通常為 .php、.asp、.aspx、.jsp 等。

（2）POST 請求特征：一句話木馬通常通過 POST 請求進行操作，日志中可能會出現(xiàn)大量的 POST 請求記錄。

（3）返回數(shù)據(jù)特征：攻擊者在使用一句話木馬時，服務器可能會返回一些特定的數(shù)據(jù)，如執(zhí)行系統(tǒng)命令的結(jié)果、文件內(nèi)容等。

3.特征字符分析（1）木馬代碼特征字符：一句話木馬的代碼通常比較簡短，如 <?php eval($_POST@[cmd]);?>，其中 eval、$_POST 是關(guān)鍵特征字符。（2）請求參數(shù)特征字符：在使用一句話木馬時，攻擊者通常會通過 POST 請求傳遞參數(shù)，如 cmd=system(dir)，其中 cmd 是常見的參數(shù)名。

（3）一句話木馬是一種精簡的惡意代碼（通常只有一行），通過遠程執(zhí)行任意命令或腳本，使攻擊者獲得服務器控制權(quán)限。

典型代碼示例：

PHP：

ASP：<%eval request("cmd")%>

JSP：<%Runtime.getRuntime().exec(request.getParameter("cmd"));%>

4.分析命令（1）日志特征檢測grep -iE POST /.*\.(php|asp|jsp)\?.*(&cmd=|&pass=|\b(eval|assert|system|exec|passthru|base64_decode)\() access_log > webshell_candidates.txt

-i：忽略大小寫（如 .PHP、CMD=、EVAL( 也能匹配）

合并四類特征：

可疑文件路徑：匹配 .php、.asp、.jsp 文件路徑（如 /uploads/shell.php）

POST /.*\.(php|asp|jsp)

危險參數(shù)名：檢測 cmd、pass 等敏感參數(shù)（如 ?cmd=whoami）

(&cmd=|&pass=)

危險函數(shù)調(diào)用：匹配 eval()、assert()、system()、exec()、passthru()、base64_decode() 等函數(shù)

\b(eval|assert|system|exec|passthru|base64_decode)\(

（2）文件內(nèi)容靜態(tài)檢測（危險函數(shù)掃描）

grep -rliE "(eval|assert|system|exec|passthru|base64_decode)\s*\(.*(\$_POST|\$_GET|\$_REQUEST)" /var/www/html/ > webshell_files.txt

-rli：遞歸搜索文件內(nèi)容，忽略大小寫，僅輸出文件名

匹配動態(tài)參數(shù)：檢測 eval($_POST@[...])、system($_GET@[...]) 等典型 WebShell 代碼

5.擴展命令分析

（1）高頻訪問 IP 分析

# 統(tǒng)計訪問可疑文件的 IP 頻率（如 shell.php）

awk /\.(php|asp|jsp)\?/ {print $1} access_log | sort | uniq -c | sort -nr | head -10

（2）動態(tài)行為監(jiān)控

# 監(jiān)控 PHP 進程執(zhí)行系統(tǒng)命令（需 auditd 或進程跟蹤）

ps aux | grep -E php-cgi|apache2 | grep -vE grep|status

（3）編碼繞過檢測

# 檢測 URL 編碼的 WebShell 特征（如 %63%6d%64= 對應 cmd=）

grep -iE %63%6d%64=|%65%76%61%6c access_log

（4） 響應內(nèi)容分析

# 查找響應中包含系統(tǒng)命令結(jié)果（如 uid=0(root)）

awk $9 == 200 {print $0} access_log | grep -E "uid=|root|Permission denied"

6.誤報過濾

（1） 排除白名單路徑

grep -iE webshell_pattern access.log | grep -vE /admin/|/cms/

（2） 排除合法參數(shù)名

grep -iE &cmd= access.log | grep -v &cmd=backup # 忽略業(yè)務合法的 cmd=backup

7.防御與響應

（1）自動封禁高危 IP

grep -iE

webshell_candidate_pattern access.log | awk {print $1} | xargs -I{} iptables -A INPUT -s {} -j DROP

（2）增強日志記錄

# Nginx 配置示例（記錄 POST 請求體）

log_format enhanced $remote_addr - $remote_user [$time_local] "$request"

$status $body_bytes_sent "$http_referer"

"$http_user_agent" "$request_body";

access_log /var/log/nginx/access.log enhanced;

8.綜合案例

場景：攻擊者上傳 20250429.php，通過 ?cmd=id 執(zhí)行命令。

（1）檢測可疑請求

grep -iE POST /.*\.php\?.*&cmd= access.log

（2）定位文件并靜態(tài)掃描

grep -rli "eval($_POST" /var/www/html/uploads/

（3）封禁攻擊者 IP

iptables -A INPUT -s 192.168.1.100 -j DROP

3.3.5Web掃描

一般來說，訪問的目標比較離散，并且來源地址相對固定，同時訪問的結(jié)果大多數(shù)也都是失敗的，并且在參數(shù)中有比較明顯的掃描器特征字段

1.常見掃描器在url上的特征

● AWVS 10.5或11

acunetix-wvs-test-for-some-inexistent-file

by_wvs

acunetix_wvs_security_test

acunetix

acunetix_wvs

acunetix_test

wvs_test

● Netsparker

netsparker

Netsparker

ns: netsparker

●Appscan

Appscan

● Webinspect

HP404

● Rsas

nsfocus

● Nessus

nessus

Nessus

● Sqlmap

sqlmap

2.分析命令

（1）直接匹配已知掃描器標識

grep -iE (acunetix|by_wvs|netsparker|appscan|HP404|nsfocus|nessus|sqlmap|wvs_test) access.log > scanner_candidates.txt

（2）檢測通用掃描器特征

# 匹配自動化工具特征（如 "Scanner"、"Spider"、"Crawler"）

grep -iE (scanner|spider|crawler|bot|checker|security|scan) access.log | grep -vE (google|bing|yandex) > generic_scanners.txt

3.擴展分析命令

（1）統(tǒng)計來源 IP 的失敗請求（4xx/5xx）頻率

awk $9 ~ /^[45]/ {print $1} access.log | sort | uniq -c | sort -nr | head -10

（2）精準定位 URL 路徑或參數(shù)

# 僅匹配 URL 路徑或參數(shù)中的掃描器特征（排除 User-Agent）

awk $7 ~ /(acunetix|sqlmap)/ {print} access.log

（3） 檢測 URL 編碼特征

# 匹配編碼后的掃描器關(guān)鍵字（如 %61%63%75%6e%65%74%69%78 對應 acunetix）

grep -iE %61%63%75%6e%65%74%69%78|%73%71%6c%6d%61%70 access.log

（4）關(guān)聯(lián)時間窗口分析

# 檢測短時間內(nèi)大量請求的 IP（時間窗口 1 分鐘）

awk -v window=60 {ip=$1; timestamp=$4; next}

$1 == ip && $4 <= timestamp + window {count[ip]++}

END {for (ip in count) print ip, count[ip]} access.log | sort -k2 -nr

（5）誤報過濾

排除業(yè)務白名單路徑：

grep -iE 掃描器特征 access.log | grep -vE /api/healthcheck|/security-test/

排除合法安全掃描 IP：

grep -iE 掃描器特征 access.log | grep -v 192.168.1.200 # 公司內(nèi)部掃描器 IP

（6）敏感文件或目錄探測

# 檢測對敏感路徑的探測（如 .git、.env、備份文件）

grep -iE /(\.git/|\.env|\.bak|\.old|/phpinfo\.php|/admin/|/wp-admin/) access.log >

sensitive_path_requests.txt

（7）路徑遍歷攻擊特征

# 檢測路徑遍歷字符（../ 或 URL 編碼的 %2e%2e%2f）

grep -iE (\.\./|%2e%2e%2f|%252e%252e/) access.log >

path_traversal_attempts.txt

4.其他

4.1日志格式處理

確保日志文件的格式是已知且固定的，如果日志格式不統(tǒng)一，可能需要先對日志進行預處理，使其符合分析的要求。

可以使用 sed 或 awk 等命令對日志進行格式轉(zhuǎn)換和清洗，例如去除多余的空格、統(tǒng)一時間格式等。

4.2. 結(jié)合其他特征分析

除了訪問頻率，還可以結(jié)合其他特征來識別攻擊者，例如：

請求方法：攻擊者可能會使用一些不常見的請求方法，如 HEAD、OPTIONS 等進行探測。

請求的資源路徑：攻擊者可能會嘗試訪問一些不存在的頁面或敏感的目錄。

用戶代理（User Agent）：一些攻擊工具可能會使用特定的用戶代理字符串。

5.網(wǎng)站可視化分析工具

1. Graylog

官網(wǎng): https://www.graylog.org/

GitHub:

https://github.com/Graylog2/graylog2-server

安裝指南: 可以在官方網(wǎng)站上找到詳細的安裝指南，支持多種操作系統(tǒng)包括Linux、Windows等。

2. Logstash (ELK Stack)

官網(wǎng):

https://www.elastic.co/logstash

下載頁面:

https://www.elastic.co/downloads/logstash

GitHub:

https://github.com/elastic/logstash

3. Elasticsearch

官網(wǎng):

https://www.elastic.co/elasticsearch/

下載頁面:

https://www.elastic.co/downloads/elasticsearch

GitHub:

https://github.com/elastic/elasticsearch

4. Kibana

官網(wǎng):

https://www.elastic.co/kibana/

下載頁面:

https://www.elastic.co/downloads/kibana

GitHub:

https://github.com/elastic/kibana

5. Fluentd

官網(wǎng): https://www.fluentd.org/

下載頁面:

https://docs.fluentd.org/installation

GitHub:

https://github.com/fluent/fluentd

6. GoAccess

官網(wǎng): https://goaccess.io/

下載頁面:

https://goaccess.io/download

GitHub:

https://github.com/allinurl/goaccess

7. AWStats

官網(wǎng):

https://awstats.sourceforge.io/

SourceForge 下載頁:

https://sourceforge.net/projects/awstats/files/awstats/

8. Webalizer

官網(wǎng): http://www.webalizer.org/

SourceForge 下載頁:

https://sourceforge.net/projects/webalizer/files/webalizer/

9. Analog

官網(wǎng): https://www.analog.cx/

下載頁面:

https://www.analog.cx/downloads.html

5.1.WebLog ExpertAlentum Software 公司的WebLog Expert 是一款快速強大的訪問日志分析器。它將為您提供有關(guān)您網(wǎng)站訪問者的信息：活動統(tǒng)計、訪問的文件、通過網(wǎng)站的路徑、有關(guān)引用頁面、搜索引擎、瀏覽器、操作系統(tǒng)等的信息。該程序生成易于閱讀的可互動報告，其中包括文本信息（表格）和圖表。https://www.weblogexpert.com/5.2逆火日志分析工具

參考文章：https://blog.csdn.net/shhhhw/article/details/139656506https://mp.weixin.qq.com/s/w-O8jL7Gue4XHx6VHUEyYghttps://mp.weixin.qq.com/s/dEkUra3QuhLeNa-iA1DXrQ