MỤC LỤC
I. Lý
thuyết. ............................................................................................................... 3
1. Tìm hiểu về ý nghĩa của một số lệnh dùng cho quá trình phân tích log: grep,
gawk, find, secure, access_log
… ................................................................................ 3
a) Câu lệnh grep ................................................................................................. 3
b) Câu lệnh gawk ................................................................................................ 4
c) Câu lệnh find .................................................................................................. 5
d) Câu lệnh access_log ....................................................................................... 5
e) xHydra ............................................................................................................ 5
II. Thực
hành. ............................................................................................................. 5
1. Phân tích log sử dụng grep trong Linux ........................................................... 5
2. Phân tích log sử dụng gawk trong Linux .......................................................... 9
3. Phân tích log sử dụng find trong Windows ..................................................... 11
III. Tài liệu tham khảo....................................................................................... 14

Bài 9: Phân tích log hệ thống

I. Lý thuyết.

1. Tìm hiểu về ý nghĩa của một số lệnh dùng cho q trình phân tích log: grep,
gawk, find, secure, access_log, …

a) Câu lệnh grep

 Grep là một lệnh được phát triển để thực thi các tác vụ tìm kiếm văn bản. Lệnh
grep cung cấp quyền truy cập vào tiện ích grep, một công cụ xử lý file mạnh mẽ
được sử dụng để tìm các mẫu trong file văn bản.

 Trong q trình thực thi grep, có thể chỉ ra tên tệp hoặc có thể để lại đầu vào tiêu
chuẩn, do đó, grep chịu trách nhiệm tạo các dịng khớp.

 Có ba biến được quản lý trong q trình grep, đó là:

 SG, SSbasicSregapi: điều này chịu trách nhiệm diễn giải mẫu như một biểu thức
chính quy cơ bản, nó là giá trị mặc định.

 SG, SSbasicSregapi: điều này chịu trách nhiệm diễn giải mẫu như một biểu thức
chính quy cơ bản, nó là giá trị mặc định.

 SF, SSfixedSchuỗi: với tùy chọn này, mẫu được hiểu là một danh sách các chuỗi
ký tự cố định, được phân tách bằng các ngắt dịng trong đó kết quả khớp sẽ được
tìm kiếm trong bất kỳ chuỗi nào.

 Lệnh grep là lệnh sẽ cho phép hệ điều hành phân tích trong hệ thống để tìm các
kết quả khớp và sau khi phát hiện tiến hành in kết quả để có thể quản lý tập trung
các kết quả này.

 Cú pháp sử dụng của lệnh grep như sau: grep [options] pattern [FILE]  grep –
chỉ định lệnh grep.  [options] – tùy chọn của lệnh.  pattern

– truy vấn cần tìm.  [FILE] – file thực hiện tìm kiếm.

 Có một số tham số có thể sử dụng với lệnh grep để có được kết quả tốt nhất, đó
là:

 SE, SSextendsSregapi: Các mẫu được hiểu là các biểu thức chính quy.

 SF, SSfixedSstring: Các mẫu là các chuỗi.

 SG, SSbasicSregapi: Các mẫu là các biểu thức chính quy cơ bản.
 P, SSperlSregexep: Các mẫu là biểu thức Perl.
 Se, regapi: Các mẫu cho phù hợp được tìm kiếm.
 Sf: Sử dụng các mẫu như một tệp.
 Si, SSignoreScase: Bỏ qua chữ hoa.
 Sw, SSwordSregapi: Ghép tất cả các từ bằng nhau.
 Sx, SSlineSregapi: Khớp tất cả các dòng.
 Ss, SSnoSmessage: Loại bỏ thơng báo lỗi.
 Sv, SSinvertSmatch: Chọn các dịng khơng khớp với tiêu chí tìm kiếm.
 SV, SSversion: Hiển thị phiên bản grep được sử dụng.
 Sm, SSmaxSCount: Dừng tìm kiếm sau một số dịng cụ thể.
 Sb, SSbyteSoffset: Hiển thị offset byte bên cạnh các dòng đầu ra.
 Sn, SSlineSnumber: In số dòng.
 SH, SSwithSfilename: hiển thị tên tệp trên các dòng đầu ra.
 Sq, SSquiet: Bỏ qua tất cả kết quả.
 Sd, SSdirectories: Cho biết cách xử lý các thư mục.
 Sl, SSfilesSwithoutSmatch: Chỉ in tên tệp mà khơng bao gồm các dịng.
 Sc, SScount: In các dòng đã chọn trên mỗi tệp.
 Câu lệnh cài đặt grep trên Ubuntu: sudo aptSget install grep
b) Câu lệnh gawk
 GAWK: Hay còn gọi là GNU AWK.

 Ngơn ngữ gawk là một ngơn ngữ lập trình giúp chúng ta thao tác dễ dàng với
kiểu dữ liệu có cấu trúc và tạo ra những kết quả được định dạng.

 Lệnh gawk sử dụng để tìm kiếm và xử lý file text. Nó có thể tìm kiếm một hoặc
nhiều file để xem các file có dịng nào bao gồm những pattern cần tìm kiếm và sau
đó thực hiện những action. Cú pháp của lệnh gawk như sau:

gawk pattern actions [FILE]


 gawk – chỉ định lệnh gawk.

 pattern – những biểu thức chính quy.

 actions – những câu lệnh cần thực hiện.

 [FILE] – file cần thực hiện lệnh gawk.

 Cách lệnh awk hoạt động:

 Lệnh gawk đọc file đầu vào theo từng dòng.

 Đối với mỗi dịng, nó sẽ khớp lần lượt với các pattern, nếu khớp thì sẽ thực hiện
action tương ứng. Nếu khơng có pattern nào được so khớp thì sẽ khơng có action
nào thực hiện.

 Cú pháp cơ bản làm việc với lệnh gawk thì pattern hoặc action phải có 1 trong 2
khơng thể thiếu cả 2.  Nếu khơng có pattern, gawk sẽ thực hiện action đối với mỗi
dòng của dữ liệu. Nếu khơng có action, gawk sẽ mặc định in ra tất cả những dòng
khớp với pattern đã cho.

 Mỗi câu lệnh trong phần action được phân tách nhau bởi dấu chấm phẩy.

c) Câu lệnh find

 Câu lệnh find trong Linux được dùng để tìm kiếm tập tin và thư mục dựa trên các
điều kiện đầu vào khác nhau. find [paths] [expression] [actions]

 Biểu thức sẽ cho phép bạn lọc các tệp của mình dựa trên một số tiêu chí và cho

phép bạn thực hiện các lệnh shell trên tệp. Find linux command sẽ hiển thị các tệp
một cách đệ quy, nghĩa là trước tiên nó sẽ duyệt qua mọi thư mục và sau đó in ra
kết quả tương ứng.

 Một số ứng dụng của câu lệnh find trong Ubuntu:
 Liệt kê tất cả các file bên trong thư mục hiện tại: find
 Liệt kê tất cả các file có trong một thư mục cụ thể: find /
 Tìm kiếm một file cụ thể: find Sname
 Tìm kiếm một file cụ thể trong một thư mục: find / Sname
 Tìm kiếm trường hợp bỏ qua file: find Siname
 Tìm kiếm các thư mục bên trong thư mục hiện tại: find Stype d
d) Câu lệnh access_log  Access_log có chức năng ghi lại những lần sử dụng, truy
cập, yêu cầu đến apache server.
 Access_log được lưu trữ tại /var/log/httpd/access_log (hoặc tại
/var/log/apache2/access_log).
e) xHydra
 xHydra là giao diện người dùng GUI cho trình bẻ khóa mật khẩu Hydra.
 Hydra có thể được sử dụng để bẻ khóa mật khẩu, có thể được sử dụng cho nhiều
loại tấn công trực tuyến, bao gồm cả các cuộc tấn công MySQL, SMB, FTP,
MSSQL và HTTP / HTTPS.

II. Thực hành.
1. Phân tích log sử dụng grep trong Linux
 Trên máy Kali attack trong mạng Internal, khởi chạy Zenmap và scan cho địa chỉ
192.168.100.147 (Máy Linux victim) và xem được port 80 đang mở cho Web
Server Apache 2.2.3 Khởi chạy zenmap trên máy Kali và scan cho địa chỉ
192.168.100.147 của máy Ubuntu Port 80 đang mở cho Web Server Apache2

 Trên máy Kali attack ở mạng Internal, truy cập địa chỉ web
http://192.168.100.147 Trên máy Kali, truy cập địa chỉ web http://192.168.100.147


 Trên terminal tiến hành sao chép website và tìm kiếm từ khóa
“test”(root@bt:~#curl http://192.168.100.147| grep test) Tìm kiếm từ khóa “test”
bằng lệnh grep

 Trên máy Linux Internal Victim, để xem thư mục chứa access_log dùng lệnh:
[root@rhel ~]# cd /var/log/apache2 Xem thư mục acess_log. Khi đã mở được file
access_log trên máy nạn nhân, dùng grep để lọc ra kết quả với một số từ khóa tìm
kiếm ví dụ: Nmap, Firefox, curl, … Dùng lệnh grep để tìm từ khóa “nmap” Dùng
lệnh grep để tìm từ khóa “firefox” Dùng lệnh grep để tìm từ khóa “curl”

2. Phân tích log sử dụng gawk trong Linux

 Trên máy Kali attack tiến hành remote vào máy Linux Internal Victim. Remote
vào máy Ubuntu victim

 Tạo một account mới với tên sinh viên và mật khẩu tùy chọn. Sau đó tiến hành
thay đổi mật khẩu cho tài khoản vừa tạo. Tạo một tài khoản mới có tên là và đặt
mật khẩu

 Trên máy Linux Internal Victim, tiến hành xem file log.

 Trên máy Kali attack, thông qua chế độ remote tiến hành tìm kiếm những người
dùng vừa tạo bằng lệnh grep, và dùng lệnh gawk để in một hoặc nhiều dịng dữ liệu
tìm được. Dùng lệnh grep để tìm kiếm người dùng có tên vừa tạo. Dùng lệnh gawk
để in dữ liệu vừa tìm được

3. Phân tích log sử dụng find trong Windows

 Trên máy Kali External Attack khởi động #xhydra, chọn target là 10.10.19.202,

giao thức ftp và cài đặt Password list, sau đó nhấn Start và chờ xHydra tìm ra mật
khẩu. Crack thành công mật khẩu

 Trên máy Windows 2003 Server External Victim, thực hiện điều hướng đến FTP
Logfile (C:\cd c:\Windows\System32\Logfiles\msftpsvc1). Chọn hiển thị tất cả các
file log đang có và chọn 1 file mới nhất để mở ra (ngày tháng có dạng yymmdd).

 Gõ lệnh để tìm kiếm kết quả tấn cơng login thành cơng (C:\WINDOWS\
system32\LogFiles\MSFTPSVC1>type exyymmdd.log | find “230”) Tìm kiếm kết
quả tấn công login thành công