Como analisar e interpretar o Apache WebServer Log

Os servidores da Web Apache podem gerar muitos logs. Esses logs contêm informações como as solicitações HTTP que o Apache lidou e respondeu e outras atividades específicas para o Apache. Analisar os logs é uma parte importante da administração do Apache e garantindo que ele funcione conforme o esperado.

Neste guia, examinaremos as diferentes opções de registro presentes no Apache e como interpretar esses dados de log. Você aprenderá como analisar os logs que o Apache produz e como definir as configurações de registro para fornecer os dados mais relevantes sobre o que o Apache está fazendo.

Neste tutorial, você aprenderá:

• Configure e compreenda o log da webserver apache
• Quais são os níveis de log do Apache
• Como interpretar a formatação do log do Apache e seu significado
• Quais são os arquivos de configuração de log do Apache mais comuns
• Como estender a configuração de registro para incluir dados forenses

Requisitos de software e convenções usadas

Arquivos de log do Apache e sua localização

O Apache produz dois arquivos de log diferentes:

• acesso.registro armazena informações sobre todas as solicitações de conexão que recebem para o Apache. Toda vez que um usuário visita seu site, ele será registrado aqui. Cada página que um usuário solicita também será registrado como uma entrada separada.
• erro.registro armazena informações sobre erros que o Apache encontra ao longo de sua operação. Idealmente, esse arquivo deve permanecer relativamente vazio.

A localização dos arquivos de log pode depender de qual versão do Apache você está executando e em que distribuição Linux está. O Apache também pode ser configurado para armazenar esses arquivos em algum outro local que não seja do DeFault.

Mas, por padrão, você poderá encontrar os logs de acesso e erro em um desses diretórios:

• /var/log/apache/
• /var/log/apache2/
• /etc/httpd/logs/

Formatação de log do Apache

O Apache permite que você personalize quais informações são registradas e como cada entrada de log é apresentada, que abordaremos mais tarde neste tutorial.

O formato usual que o Apache segue para a apresentação de entradas de log é:

" %H %L %u %t \" %r \ "" %> s %O \"" %referente i \ ""\"" %user-agent i \ """"

Veja como interpretar esta formatação:

• %h - O endereço IP do cliente.
• %eu - Este é o 'identd' no cliente, que é usado para identificá -los. Este campo geralmente está vazio e apresentado como um hífen.
• %você - O ID do usuário do cliente, se a autenticação http foi usada. Caso contrário, a entrada do log não mostrará nada para este campo.
• %t - Timestamp da entrada de log.
• \%r \ - A linha de solicitação do cliente. Isso mostrará qual método HTTP foi usado (como get ou post), qual arquivo foi solicitado e qual o protocolo HTTP foi usado.
• %> s - O código de status que foi devolvido ao cliente. Códigos de 4xx (como 404, página não encontrada) indicam erros do cliente e códigos de 5xx (como 500, erro interno do servidor) indicam erros do servidor. Outros números devem indicar sucesso (como 200, OK) ou algo mais como redirecionamento (como 301, movido permanentemente).
• %O - O tamanho do arquivo (incluindo cabeçalhos), em bytes, que foi solicitado.
• \ ”%Referente i \” - O link de referência, se aplicável. Isso informa como o usuário navegou para sua página (de um link interno ou externo).
• \ ”%User-agent i \” - Isso contém informações sobre o navegador da Web e o sistema operacional do cliente de conexão.

Uma entrada típica no log de acesso será algo assim:

10.10.220.3 - - [17/dez/2019: 23: 05: 32 -0500] ""Get/Products/Index.php http/1.1 ""200 5015"" http: // exemplo.com/produtos/índice.Php """" Mozilla/5.0 (Windows NT 10.0