Cara Menganalisis dan Mentafsirkan Log Webserver Apache

Cara Menganalisis dan Mentafsirkan Log Webserver Apache

Pelayan web Apache boleh menjana banyak log. Log ini mengandungi maklumat seperti permintaan HTTP yang telah ditangani dan ditangani Apache, dan aktiviti lain yang khusus untuk Apache. Menganalisis balak adalah bahagian penting dalam mentadbir Apache dan memastikan ia berjalan seperti yang diharapkan.

Dalam panduan ini, kami akan meneruskan pilihan pembalakan yang berbeza yang terdapat di Apache dan bagaimana mentafsir data log ini. Anda akan belajar bagaimana menganalisis log yang dihasilkan oleh Apache dan cara mengkonfigurasi tetapan pembalakan untuk memberi anda data yang paling relevan mengenai apa yang dilakukan oleh Apache.

Dalam tutorial ini anda akan belajar:

  • Konfigurasikan dan fahami Apache Webserver Logging
  • Apakah tahap log Apache
  • Cara mentafsirkan pemformatan log Apache dan maknanya
  • Apakah fail konfigurasi log Apache yang paling biasa
  • Cara Memperluaskan Konfigurasi Pembalakan Untuk memasukkan data forensik
Cara Menganalisis dan Mentafsirkan Log Webserver Apache

Keperluan perisian dan konvensyen yang digunakan

Keperluan Perisian dan Konvensyen Talian Perintah Linux
Kategori Keperluan, konvensyen atau versi perisian yang digunakan
Sistem Ubuntu, Debian, Centos, Rhel, Fedora
Perisian Webserver Apache
Yang lain Akses istimewa ke sistem linux anda sebagai akar atau melalui sudo perintah.
Konvensyen # - Memerlukan arahan Linux yang diberikan untuk dilaksanakan dengan keistimewaan akar sama ada secara langsung sebagai pengguna root atau dengan menggunakan sudo perintah
$ - Memerlukan arahan Linux yang diberikan sebagai pengguna yang tidak layak

Fail log Apache dan lokasi mereka

Apache menghasilkan dua fail log yang berbeza:

  • akses.log menyimpan maklumat mengenai semua permintaan sambungan yang masuk ke Apache. Setiap kali pengguna melawat laman web anda, ia akan dilog masuk ke sini. Setiap halaman permintaan pengguna juga akan dilog sebagai entri berasingan.
  • ralat.log menyimpan maklumat mengenai kesilapan yang dihadapi oleh Apache sepanjang operasinya. Sebaik -baiknya, fail ini harus kekal kosong.
Konfigurasi log lalai Apache pada pelayan Ubuntu Linux

Lokasi fail log mungkin bergantung pada versi Apache yang anda jalankan dan pengedaran Linux. Apache juga boleh dikonfigurasikan untuk menyimpan fail-fail ini di beberapa lokasi bukan lalai yang lain.

Tetapi, secara lalai, anda harus dapat mencari log dan log ralat di salah satu direktori ini:

  • /var/log/apache/
  • /var/log/apache2/
  • /etc/httpd/log/


Pemformatan log Apache

Apache membolehkan anda menyesuaikan maklumat apa yang dilog masuk dan bagaimana setiap kemasukan log dibentangkan, yang akan kami sampaikan kemudian dalam tutorial ini.

Format biasa yang Apache mengikuti untuk menyampaikan entri log adalah:

" %h %l %u %t \" %r \ "" %> s %o \"" %referer i \ ""\"" %user-agent i \ """"

Inilah cara mentafsirkan pemformatan ini:

  • %h - Alamat IP pelanggan.
  • %l - Ini adalah 'identd' pada pelanggan, yang digunakan untuk mengenal pasti mereka. Bidang ini biasanya kosong, dan dibentangkan sebagai tanda hubung.
  • %u - ID pengguna pelanggan, jika pengesahan HTTP digunakan. Jika tidak, entri log tidak akan menunjukkan apa -apa untuk bidang ini.
  • %t - Timestamp entri log.
  • \%r \ - Baris permintaan dari pelanggan. Ini akan menunjukkan kaedah HTTP yang digunakan (seperti GET atau POST), fail apa yang diminta, dan apa yang digunakan oleh protokol HTTP.
  • %> s - Kod status yang dikembalikan kepada pelanggan. Kod 4xx (seperti 404, halaman tidak dijumpai) Tunjukkan ralat klien dan kod 5xx (seperti 500, ralat pelayan dalaman) Tunjukkan ralat pelayan. Nombor lain harus menunjukkan kejayaan (seperti 200, ok) atau sesuatu yang lain seperti pengalihan (seperti 301, secara kekal bergerak).
  • %O - Saiz fail (termasuk tajuk), dalam bait, yang diminta.
  • \ ""%Rujukan i \"" - Pautan merujuk, jika berkenaan. Ini memberitahu anda bagaimana pengguna dilayari ke halaman anda (sama ada dari pautan dalaman atau luaran).
  • \ ""%User-agent i \"" - Ini mengandungi maklumat mengenai penyemak imbas web dan sistem operasi pelanggan yang menghubungkan.

Kemasukan tipikal dalam log akses akan kelihatan seperti ini:

10.10.220.3 - - [17/Dis/2019: 23: 05: 32 -0500] ""Dapatkan/Produk/Indeks.php http/1.1 ""200 5015"" http: // contoh.com/produk/indeks.PHP """" Mozilla/5.0 (Windows NT 10.0