logviewer是一個相當輕巧型的日誌分析工具
做一個資訊人員(MIS)或資安人員在處理各類型的資安事件時,最常接觸到的就是各類型系統所產生的日誌檔案,例:防火牆日誌檔案、網站伺服器檔案等,不勝枚舉。
一般最主要的分析日誌檔案需求有:
- 快速呈現輸入指令後的結果
- 可讀取大量文字檔案
- 將文字檔案作基本的切割或正規化
- 提高日誌檔的易讀性
因此針對上述基本日誌分析特性,logviewer在分析時以及結果後的呈現就顯的特別有用
logviewer特色
根據logviewer官網所示,logviewer的優點就是在讀取資料、搜尋資料、呈現資料上都是非常快速的:
- Load (LogViewer): 15s
- Load (Highlighter): 42s
- Search (LogViewer): 1m 5s
- Search (Highlighter): 2m 15s
- Show Only Highlighted (LogViewer): 2s (+ the search operation above 1m 5s) Total: 1m 7s
- Show Only Highlighted (Highlighter): Killed after 35m
logviewer檔案下載方式:
只要點擊logviewer後,即可進行下載且免安裝
開啟logviewer後,匯入demo用的日誌檔案,即可呈現日誌檔案的樣式,然後就可在Search欄位進行搜尋
例如:輸入top關鍵字後,logviewer即會呈現相對應符合的文字
最後,經測試logviewer後,本文列出logviewer的優點及部分缺點供使用者參考:
logviewer優點:
- 免安裝且不會改變原始文字資料
- 可讀取單一巨大的文字檔(日誌檔)
- 搜尋速度快
- 可用網底的方式列出符合的欄位
- 記憶曾輸入過的查詢文字
- 不局限輸入英文字大小寫
- 可多開多個文字檔(日誌檔)逐一比對
logviewer缺點:
- 無法作模糊比對(例:client%)
- 只能比對當下開啟的文字檔(日誌檔),並無法交叉比對
- 無法只呈現比對後的結果
結論
logviewer在分析單一巨大的文字檔(日誌檔)時,確實是相當好用的基本型工具。相當的輕巧且免安裝,而在想要快速追查可能異常的特徵碼的條件下時就顯得相當實用!!
整體使用下來,本文還是推薦logviewer在找尋一些基本的問題或開啟巨大的文件檔格式時,對於初學者來說,免去複雜指令的困難,只要輸入重點關鍵特徵即可快速呈現結果,因此建議可以列為主要的日誌檔分析工具之一。
LogViewer下載點: https://github.com/woanware/LogViewer/releases demo apache log下載點: http://www.monitorware.com/en/logsamples/apache.php