STRATO Access Report
Lokale Windows-Auswertung für STRATO-Zugriffslogs: GZ-Dateien entpacken, doppelte Logzeilen entfernen, Domains trennen, HTTP-Fehler erklären, verdächtige IPs priorisieren, sensible Pfade prüfen, Fehlerseiten-Weiterleitungen einordnen und Original-GZ zusätzlich wochenweise archivieren.
Alle Zahlen und Domainnamen in dieser Vorschau sind künstlich.
Ablauf
1. Logs einlesen
Das Programm sucht in STRATO-Paketordnern nach access_log_*.gz, entpackt sie lokal und fasst eindeutige Zeilen zusammen.
2. Domains trennen
Jede Domain erhält eine eigene HTML-Seite mit Tagesverteilung, Pfaden, IPs, Statuscodes und User-Agent-Hinweisen.
3. Fehler erklären
HTTP-Fehler werden als Tortengrafik und Tabellen dargestellt. Funktionsfähige Statusmeldungen können zugeschaltet werden.
4. Neu seit letztem Lauf
Ein Snapshot zeigt neue Abuse-IP-Kandidaten, neue Scanner-Treffer und Domains mit steigenden Fehlerzahlen.
5. Weiterleitungen prüfen
Scanner-Weiterleitungen auf erkennbare Fehlerseiten werden getrennt angezeigt. Schleifen, etwa HTTP/HTTPS-Wechsel, werden als Loop-Verdacht markiert.
6. Dynamisch filtern
Zusätzlich zur statischen Auswertung gibt es eine interaktive HTML-Seite mit Domain-, Status-, IP/Firma-, Signatur- und Zeitraumfiltern.
7. Wochenarchiv
Ein separater GUI-Eintrag erzeugt deduplizierte Wochen-GZ-Dateien direkt im Archivordner. Eine zweite GUI prüft Manifest, Prüfsummen, Monatsübersicht und Löschkandidaten.
8. Scan-Profile
Die Full-Scan-GUI bietet Kurz, Mittel und Voll, damit Dauer und Netzlast vor dem Start klar begrenzt werden.
Zweistufiger Scanner
| Schritt | Prüfung | Beispiele |
|---|---|---|
| 1 | Feste Hochrisiko-Pfade wie .env, .git/config, Backups und Datenbank-Dumps | 20 |
| 2 | Aus den Logs abgeleitete verdächtige Pfade und Dateinamen | 60 je Domain |
AbuseIPDB mit Tageslimit
AbuseIPDB ist ein öffentlicher Reputationsdienst für IP-Adressen. Betreiber melden dort IPs, die zum Beispiel Spam, Login-Angriffe, DDoS, Webscanner oder andere missbräuchliche Zugriffe verursacht haben. STRATO Access Report nutzt AbuseIPDB optional, um lokale Logauffälligkeiten besser einzuordnen; der eigene API-Key bleibt immer beim jeweiligen Windows-Benutzer.
Persistenter Cache
Bereits geprüfte IPs werden lokal gespeichert. Frische Einträge werden wiederverwendet, ältere Einträge kommen in die Nachprüfung.
Tägliche Nachfüllung
Bei jedem geplanten Lauf werden unbekannte oder veraltete IPs nach Priorität abgefragt, aber nie über das gesetzte Tageslimit hinaus.
False-Positive-Schutz
Allowlist-Einträge und bekannte Suchmaschinen-/Monitoring-Hinweise werden angezeigt, aber nicht in Sperrdateien geschrieben.
Downloads
Die Dateien werden beim lokalen Build hier abgelegt. Die Links zeigen auf relative Dateien innerhalb dieser lokalen Software-Webseite.
Das Setup ist ein Inno-Setup und installiert die Anwendung als EXE. Es enthält keine PowerShell- oder CMD-Startwrapper und fragt bei vorhandener Installation vor dem Aktualisieren nach.
FAQ
Bleiben meine Logs lokal?
Ja. Die Rohlogs und HTML-Berichte liegen auf dem eigenen Windows-Rechner. Nur optionale IP-Reputationsabfragen gehen an externe Quellen.
Warum kann Windows warnen?
Die EXE ist lokal gebaut und nicht mit einem kostenpflichtigen Code-Signing-Zertifikat signiert. SHA256-Prüfsummen dokumentieren die Artefakte.
Wie läuft die Auswertung?
Normalerweise über den Startmenüeintrag Erzeuge Report. Für aktive Pfadprüfungen und Wochenarchive gibt es eigene GUI-Einträge. Eine automatische Windows-Aufgabenplanung wird in dieser Version nicht eingerichtet.