So analysieren und interpretieren Sie das Apache -Webserver -Protokoll

Apache -Webserver können viele Protokolle generieren. Diese Protokolle enthalten Informationen wie die HTTP. Die Analyse der Protokolle ist ein wichtiger Bestandteil der Verwaltung von Apache und der Gewährleistung, dass es wie erwartet ausgeführt wird.

In diesem Handbuch werden wir die verschiedenen in Apache vorhandenen Protokollierungsoptionen durchgehen und wie diese Protokolldaten interpretiert werden. Sie lernen, wie Sie die Protokolle analysieren, die Apache erzeugt.

In diesem Tutorial lernen Sie:

• Konfigurieren und verstehen Sie Apache -Webserver -Protokollierung
• Was sind Apache -Protokollebenen
• So interpretieren Sie Apache -Protokollformatierung und seine Bedeutung
• Was sind die häufigsten Apache -Protokoll -Konfigurationsdateien
• So erweitern Sie die Protokollierungskonfiguration auf forensische Daten, um forensische Daten einzuschließen

Softwareanforderungen und Konventionen verwendet

Apache -Protokolldateien und deren Speicherort

Apache erzeugt zwei verschiedene Protokolldateien:

• Zugang.Protokoll Speichert Informationen zu allen eingehenden Verbindungsanforderungen in Apache. Jedes Mal, wenn ein Benutzer Ihre Website besucht, wird sie hier angemeldet. Jede Seite, die ein Benutzeranforderungen anwendet.
• Fehler.Protokoll Speichert Informationen zu Fehlern, auf die Apache während des gesamten Betriebs begegnet. Idealerweise sollte diese Datei relativ leer bleiben.

Der Speicherort der Protokolldateien kann davon abhängen, welche Version von Apache Sie ausführen und auf welcher Linux -Verteilung sie sich befinden. Apache kann auch so konfiguriert werden.

Standardmäßig sollten Sie in einem dieser Verzeichnisse die Zugriffs- und Fehlerprotokolle finden können:

• /var/log/apache/
• /var/log/apache2/
• /etc/httpd/logs/

Apache -Protokollformatierung

Mit Apache können Sie anpassen, welche Informationen protokolliert sind und wie jeder Protokolleintrag präsentiert wird, was wir später in diesem Tutorial behandeln werden.

Das übliche Format, das Apache zur Präsentation von Protokolleinträgen folgt, lautet:

" %H %l %U %t \" %r \ "" %> %o \"" %Referer i \ ""\"" %user-Agent i \ """" ""

So interpretieren Sie diese Formatierung:

• %H - Die IP -Adresse des Clients.
• %l - Dies ist die ""Identd"" des Clients, mit der sie identifiziert werden. Dieses Feld ist normalerweise leer und als Bindestrich dargestellt.
• %u - Die Benutzer -ID des Clients, wenn die HTTP -Authentifizierung verwendet wurde. Wenn nicht, zeigt der Protokolleintrag für dieses Feld nichts an.
• %T - Zeitstempel des Protokolleintrags.
• \%R\ - Die Anforderungszeile vom Client. Dies zeigt, welche HTTP -Methode verwendet wurde (z. B. GET oder POST), welche Datei angefordert wurde und welches HTTP -Protokoll verwendet wurde.
• %> s - Der Statuscode, der an den Client zurückgegeben wurde. Codes von 4xx (z. B. 404, Seite nicht gefunden) geben Clientfehler und -Codes von 5xx an (z. B. 500, interner Serverfehler) Zeigen Serverfehler an. Andere Zahlen sollten auf Erfolg hinweisen (z. B. 200, OK) oder etwas anderes wie Umleitung (z. B. 301, dauerhaft bewegt).
• %Ö - Die Größe der Datei (einschließlich Header) in Bytes, die angefordert wurden.
• \ ""%Referer i \"" - Der Überweisungslink gegebenenfalls zutreffend. Dies zeigt, wie der Benutzer zu Ihrer Seite navigiert wurde (entweder aus einem internen oder externen Link).
• \ ""%User-Agent i \"" - Dies enthält Informationen über den Webbrowser und das Betriebssystem des Verbindungskunden -Clients.

Ein typischer Eintrag im Zugriffsprotokoll sieht ungefähr so ​​aus:

10.10.220.3 - - [17/dez/2019: 23: 05: 32 -0500] ""Get/Produkte/Index.PHP HTTP/1.1 ""200 5015"" http: // Beispiel.com/Produkte/Index.PHP """" Mozilla/5.0 (Windows NT 10.0