ウェブサイトの攻撃兆候検出ツール iLogScanner 概要

操作手順(PDF:2.7 MB)

オフライン版iLogScannerトップページ

クイックリンク

概要利用方法(GUI版) 利用方法(CUI版) 動作環境解析対象のログ形式参考資料

概要

iLogScannerは、ウェブサーバのアクセスログから攻撃と思われる痕跡を検出するためのツールです。ウェブサイトのログを解析することで攻撃の痕跡を確認でき、一部の痕跡については攻撃が成功した可能性を確認できます。また、SSHやFTPサーバのログに対しても、攻撃と思われる痕跡を検出することができます。

※オフライン版iLogScannerをご利用の際は、「利用許諾（PDF形式）」(PDF:172KB)に同意いただく必要があります。

オフライン版 iLogScannerをダウンロード(ZIP:3.7 MB)

パッケージ構成

ダウンロードしたパッケージを展開すると、以下のファイルが含まれています。

readme.txt: 全体ガイダンス（最初にお読みください）

1_bin: iLogScanner実行モジュール格納ディレクトリ

├iLogScanner.jar: iLogScanner本体

├iLogScanner.conf: 設定ファイル

├ライブラリファイル: ライブラリファイル群

├iLogScanner.bat: Windows用起動スクリプト

└iLogScanner.sh: Linux用起動スクリプト

2_Document: 各種ドキュメントが格納されたディレクトリ

├termsofuse_off.pdf: 利用許諾(PDF形式)

└manual_off.pdf: マニュアル(PDF形式)

利用方法(GUI版)

（ステップ1）起動

実行モジュール格納ディレクトリにある、ご利用のOSに合わせた起動スクリプトを選択して実行することで、iLogScannerが起動します。スクリプトはご利用の環境に合わせて必要に応じて修正してください。

（ステップ2）解析実行

ログファイルと出力先を選択し、画面左下の「解析開始」ボタンをクリックして解析を実行します。

（ステップ3）解析結果の確認

解析が終了すると結果が画面に表示されます。

（ステップ4）解析結果レポートの確認

解析結果のレポートは、解析結果画面の"解析結果レポートファイル"に表示されたパスに出力されます。
HTML形式の出力例を以下に示します。

解析結果レポートには、以下の項目が出力されます。

解析結果: 終了ステータス、解析日時、解析対象ファイル、解析指定日付、解析対象日付、解析レベル、検出数が表示されます。

検出対象脆弱性の説明と対策: iLogScannerが検出対象としている項目の説明が表示されます。

解析結果ログ: 攻撃の痕跡を検出したログの内容を出力します。

利用方法(CUI版)

オフライン版iLogScannerは、コマンドラインから実行することもできます。
OSのスケジューラ機能を利用して、定期的に解析を行うなどの用途でご利用いただくことができます。

実行例

コマンドラインでの実行例を以下に示します。
コマンドラインから、起動用スクリプトにパラメータを指定して実行してください。

Windows
iLogScanner.bat mode=cui logtype=[解析対象のログ種別] accesslog=[ログファイル名] outdir=[出力先]
Linux
iLogScanner.sh mode=cui logtype=[解析対象のログ種別] accesslog=[ログファイル名] outdir=[出力先]

Windows環境での実行例を以下に示します。

パラメータ一覧

コマンドラインで指定可能なパラメータは以下の通りです。
検出項目の閾値やログフォーマット等の詳細設定項目は設定ファイルで指定可能です。
設定ファイルで指定可能な項目についてはオフライン版iLogScannerに同梱されているマニュアルを参照ください。

起動モード

パラメータ名: mode

指定値 (下線は未指定時のデフォルト値): 下記いずれかを指定
gui / cui

補足: guiで起動した場合、他の指定値は無視する

ログの種類

パラメータ名: logtype

必須: ○

指定値 (下線は未指定時のデフォルト値): 下記いずれかを指定
apache / iis / iis_w3c / ssh / vsftpd / wu-ftpd

入力ログファイル名

パラメータ名: accesslog

必須: ○[1]

指定値 (下線は未指定時のデフォルト値): アクセスログファイル名、または認証ログファイル名をフルパスで指定

補足: カンマ区切りで複数指定可能[2]

エラーログファイル名

パラメータ名: errorlog

必須: ○[1]

指定値 (下線は未指定時のデフォルト値): ModSecurityエラーログのファイル名をフルパスで指定

補足: logtype=apacheの場合のみ有効

エラーログタイプ

パラメータ名: errorlogtype

指定値 (下線は未指定時のデフォルト値): エラーログ指定時のApacheバージョンを指定
2.2 / 2.4

補足: errorlog指定がある場合のみ有効

出力先ディレクトリ名

パラメータ名: outdir

必須: ○

指定値 (下線は未指定時のデフォルト値): レポートの出力先ディレクトリを指定

出力形式

パラメータ名: reporttype

指定値 (下線は未指定時のデフォルト値): 下記いずれかを指定
html / text / xml / all

解析レベル

パラメータ名: level

指定値 (下線は未指定時のデフォルト値): 下記いずれかを指定
standard / detail

補足: logtype=apache / iis / iis_w3cの場合のみ有効

[1]
logtype=apacheの場合は、accesslogまたはerrorlogのいずれかの指定が必須です。
logtype=apache以外の場合、accesslogの指定が必須です。

[2]
errorlogを指定した場合は、accesslogの複数ファイル指定は無効となります。

動作環境

OS	Windows 10 Windows 11 Linux(CentOS 等)
実行環境	OpenJDK 11 以上

※iLogScanner の起動には JAVA の実行環境が必要です。予め JAVA の実行環境を整えた上で、ご利用ください。
※取扱説明書、FAQなど動作環境OSについて記載の更新がなされていない箇所があります。予めご了承ください。

解析対象のログ形式

アクセスログ

IIS6.0/7.0/7.5/8.0/8.5のW3C拡張ログファイルタイプ
IIS6.0/7.0/7.5/8.0/8.5のIISログファイルタイプ
Apache HTTP Server1.3系/2.0系/2.2系/2.4系のcommonタイプ（カスタムフォーマット対応）

エラーログ

Apache HTTP Server2.0系/2.2系、ModSecurity 2.5系/2.6系/2.7系/2.8系のタイプ
Apache HTTP Server2.4系、ModSecurity 2.5系/2.6系/2.7系/2.8系のタイプ

認証ログ

sshd（syslog）
vsftpd（vsftpd形式、wu-ftpd形式）

解析対象のログの詳細はウェブサイトの攻撃兆候検出ツール iLogScanner 解析対象ログから確認してください。
※解析対象ログの形式が異なる場合、解析が行われない、または攻撃の痕跡の検出が行われません。

参考資料

脆弱性攻撃検出ツール「iLogScanner」に不正アクセスの兆候検出機能を追加(2014年10月9日)

よくある質問と答え（FAQ）

ウェブサイトの攻撃兆候検出ツール iLogScanner　FAQ

お問い合わせ先

独立行政法人情報処理推進機構セキュリティセンター（IPA/ISEC）

E-mail

更新履歴

2023年1月30日

動作環境の記載内容を見直し（Windows8.1サポート終了のため）
2022年3月23日

動作環境の記載内容を見直し
2020年1月22日

動作環境の記載内容を見直し
2019年4月15日

iLogScanner オンライン版の公開終了のお知らせを削除
2019年1月16日

iLogScanner オンライン版の公開終了
→ 概要、利用方法、動作環境の記載内容を見直し
2018年11月13日

iLogScanner オンライン版の公開終了のお知らせを追加
→ 2018年12月19日公開終了日(2019年1月16日)を追加
2016年5月23日

動作環境の記載内容を見直し（Windows 10追加、ウェブブラウザの内容更新）
2014年11月14日

iLogScanner V4.0.1 を公開解析結果レポートの出力に関する脆弱性を修正しました。(参考：JVN#89852154)
謝辞：本脆弱性に関しては以下の方から報告をいただきました。
報告者：株式会社NTTネオメイト水谷真也様
報告者：草野一彦様
2014年10月9日

iLogScanner V4.0を公開
2014年4月24日

動作環境の記載内容を見直し