发新话题
打印

[转载]利用EXCEL分析ICF日志的详细步骤

[转载]利用EXCEL分析ICF日志的详细步骤

文章作者:翼手龙

昨天在QQ上给一个新闻组的网友说,可以通过EXCEL来分析INTERNET连接防火墙的日志,至于详细的办法可以在GOOGLE上搜到,结果这个朋友今天给我说没有找到,我大致一搜,果然都是一句话带过,而没有相关的详细内容,我觉得,虽然通过EXCEL来分析INTERNET连接防火墙日志的过程很简单,但是其中确实有几个需要注意的事半功倍的细节,还是有必要把它写出来的。

  在默认安装完XP系统后,ICF默认是关闭的,启动ICF,ICF的日志的默认位置是WINDOWS目录下的pfirewall.log,这是一个可以直接用记事本程序直接打开的LOG文件,ICF的每一次事件都会在pfirewall.log里产生一行日志,示例如下:

Verson: 1.0
Software: Microsoft Internet Connection Firewall
Time Format: Local
Fields: date time action protocol src-ip dst-ip src-port dst-port size
tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info

2004-06-02 13:24:56 DROP TCP 192.168.0.100 192.168.0.186 139 1549 41 A
3754951312 3938703701 65366 - - -
...............

  请注意第四行的Fields等,这一行定义了下面所产生的记录的字段,在这里,我们一定要记住有用的信息的起始行数,上面的版本名称等等信息在后面的日志分析过程中没有什么用处,都可以忽略,有用的信息是从第4行开始的。

  首先,将pfirewall.log从WINDOWS目录拷贝到其他的位置,因为在WINDOWS里直接打开的话,EXCEL会提示该文件正在使用。

  然后打开EXCEL,选择打开文件,将路径指向pfirewall.log,在这里,只有选择文件类型为“所有文件”才可以看到pfirewall.log文件,打开时“文本导入向导”会自动启动。

  这里会出现两个提示“分隔符号”和“固定宽度”,由于产生的记录中各个字段是以空格来分隔的,所以我们选择“分隔符号”,导入的起始行输入为第4行,理由上面已经说了,然后单击“下一步”。

  分隔符号选择“空格”,并将后面的“连续分隔符号视为单个处理”选中,单击“下一步”,然后什么都不用动。选择“完成”即可。

  然后可以看到,在表的左上角,有一个单元格为“Fields”,将此单元格删除,删除的时候选择“右侧单元格左移”,这样字段和日志的内容就一一对齐了,可以将其保存为一个新的文件了。

  下面就可以利用EXCEL的功能来分析日志数据了,可以象统计分析一个普通的EXCEL的表格那样简单了,不过其中大力推荐的是EXCEL的自动筛选功能:选择需要筛选的范围或者整个表格,在EXCEL的“数据”菜单中选择“筛选”的“自动筛选”功能,在标题上就会出现一排下拉箭头了,点击这些箭头就可以进行日志的筛选分析了。
曾几何时,有人对我说:装B遭雷劈。我说:去你妈的。于是,这个人又对我说:如果再说脏话,上帝会惩罚你的。我说:我操上帝。结论:彪悍的人生不需要上帝。

TOP

发新话题