さまざまなWebログファイルをさまざまな形式で組み合わせる利点は何ですか？

あなたがあなたの質問で説明していることは、しばしばInformationfusionと呼ばれます。さまざまなログソースを接続できるようにすることで、リクエストのコンテキストに関する知識をより簡単に増やし、その解釈を判断するのに役立ちます。

他のログや情報との関連で配置できるログが多いほど、それらの価値は高くなります。

たとえば、Webサーバーがすべて中央のログデバイスに送信され、そこでフォーマットが統一されているとします。ログが統合されると、次のようなコマンドを非常に簡単に使用できます。

cat weblogs.tz | cut $ip > ip.txt
netcat whois.cymru.org 43 < ip.txt > result.txt

そして今、あなたはあなたのユーザーのASN、IPアドレス、Nettrange、国、そしてあなたのすべてのウェブサーバーからの他の素晴らしいものの上に座っています。これをさらに一歩進めて、通常ではないパターンでサーバーにアクセスしている疑わしいクライアントを探します。おそらく、集中的な攻撃を探しています。

これで、すべてのWebサーバーログを使用して、すべてまたは一部のWebサーバーで見られるパターンをはるかに簡単に調べることができます。このリストのように zeltser.com/log-management/security-incident-log-review-checklist ：

• 存在しないファイルへの過度のアクセス試行
• URLの一部として表示されるコード（SQL、HTML）
• 実装していない拡張機能へのアクセス
• Webサービスの停止/開始/失敗メッセージ
• ユーザー入力を受け入れる「危険な」ページへのアクセス
• ロードバランサープール内のすべてのサーバーのログを確認します
• あなたのものではないファイルのエラーコード200
• ユーザー認証に失敗しましたエラーコード401、403
• 無効なリクエストエラーコード400内部サーバーエラーエラーコード500

IISログファイルをApache形式に変換すると、それらに対して Apache-scalp.googlecode.com を実行できます。