Apache Web 服務器在企業(yè)中廣泛用于托管其網(wǎng)站和 Web 應用程序，Apache 服務器生成的原始日志提供有關 Apache 服務器托管的網(wǎng)站如何處理用戶請求以及訪問您的網(wǎng)站時經(jīng)常遇到的錯誤的重要信息。

什么是 Apache 日志

Apache 日志包含 Apache Web 服務器處理的所有事件的記錄 - 從各種計算機發(fā)送的 Web 請求、已處理的請求、從 Apache 服務器發(fā)送到主機的響應以及被阻止的惡意請求。

Apache Web 服務器生成兩種類型的日志：

Apache 訪問日志

Apache 錯誤日志

Apache 訪問日志

Apache 訪問日志是Apache HTTP 服務器，通常稱為 Apache。它們是由Web服務器創(chuàng)建和維護的一種日志文件，用于記錄向服務器發(fā)出的每個HTTP請求的時間順序和詳細歷史記錄。這些日志提供每個服務器活動的記錄，包括有關誰在訪問服務器、他們請求什么以及服務器如何響應這些請求的信息。

例：

127.0.0.1 - Jina [22/Feb/2017:10:34:12 -0700] "GET /sale-image.png HTTP/2" 200 1479

簡單來說，Apache 訪問日志是結構化日志捕獲有關與 Web 服務器的每次交互的基本信息的記錄。它們充當所有傳入請求及其結果的歷史帳戶。這些日志對于監(jiān)視、分析和排除 Web 服務器操作的各個方面的問題至關重要。

Apache 訪問日志中通常記錄哪些類型的信息

理解和解釋 Apache 訪問日志對于有效管理 Web 服務器并對其進行故障排除至關重要。首先，讓我們看一下訪問日志和 HTTP 響應代碼中的典型信息。

訪問日志捕獲各種信息，這些信息提供有關每個 HTTP 請求的詳細信息，如下所示：

客戶端 IP 地址字段記錄發(fā)出請求的客戶端的 IP 地址。它有助于識別請求的來源或來源。

時間戳指示發(fā)出請求的日期和時間。這有助于跟蹤特定操作的發(fā)生時間，從而更輕松地關聯(lián)事件。

請求 URL表示客戶端請求的 URL。它指示正在訪問的特定資源或內(nèi)容。

HTTP 方法表示發(fā)出請求的具體方法或類型，例如 GET、POST、PUT、DELETE 等。

HTTP 響應代碼或者狀態(tài)代碼是服務器返回的 HTTP 請求的結果，指示請求是成功、重定向還是遇到錯誤。以下是常見代碼：

200：表示請求成功，通常返回請求的內(nèi)容。

301/302：表示重定向，這意味著客戶端應遵循提供的新 URL。

404：表示未找到請求的資源。

403：表示被禁止的請求（即客戶端無權訪問資源）。

401：指示請求需要身份驗證（即客戶端必須提供有效的憑據(jù)才能訪問資源）。

傳輸?shù)淖止?jié)數(shù)是響應請求而從服務器傳輸?shù)娇蛻舳说臄?shù)據(jù)量。這表示響應的大小。

用戶代理string 提供有關客戶端瀏覽器或用戶代理的信息，包括瀏覽器類型和版本。這對于跟蹤網(wǎng)站訪問者使用的技術很有用。

引薦顯示將客戶端引用到當前頁面的網(wǎng)頁或資源的 URL。它有助于了解流量的來源。

這些數(shù)據(jù)點提供了每個 HTTP 請求的全面視圖，幫助管理員和開發(fā)人員診斷問題，了解其 Web 服務器的使用情況，并就站點性能和安全性做出明智的決策。

Apache 錯誤日志

Apache 錯誤日志包含有關 Web 服務器在處理請求時遇到的錯誤的信息。它記錄了所有錯誤或信息，從“文件不存在”等次要錯誤或信息到“拒絕訪問”等主要錯誤或信息，以達到對網(wǎng)絡的潛在威脅。錯誤日志使用 LogLevel 指令（如 level、emerg、alert、crit、error、warn、notice、info、debug）表示錯誤級別。

例：

Tue Feb 18 08:19:20.613789 2020] [php7:error] [pid 2045] [client 10.10.244.61:24145]script '/var/www/html/settings.php' not found or unable to stat

在哪里可以找到 Apache 訪問和錯誤日志

Apache 訪問和錯誤日志位于安裝了 Apache 的 Web 服務器上。訪問日志的具體路徑可能因操作系統(tǒng)和 Apache 配置而異。下面列出了一些可以找到 Apache 訪問日志的常見位置：

如果無法在這些位置找到 Apache 日志，可能是因為已使用 CustomLog 和 ErrorLog 指令為訪問日志和錯誤日志配置了不同的位置。此外，如果您在 Apache 配置中自定義了日志位置，則需要檢查該特定位置。

Apache訪問日志常用的格式有哪些，如何理解

Apache 訪問日志有多種格式，最常見的包括通用日志格式和組合日志格式。這些格式?jīng)Q定了日志條目的結構，這些條目記錄了有關每個 HTTP 請求的信息。

讓我們通過相關示例看一下每種日志格式：

1、通用日志格式是一種廣泛使用的格式，它以空格分隔的格式提供有關每個請求的一組基本信息。它包括客戶端的 IP 地址、請求的日期和時間、請求方法、請求的 URL、HTTP 版本、HTTP 響應代碼以及響應中發(fā)送的字節(jié)數(shù)等詳細信息。

下面是 Apache 訪問日志的示例，用于了解如何以通用日志格式記錄公共字段：

192.168.1.100 - - [11/Oct/202330:45 +0000] "GET /index.html HTTP/1.1" 200 1234

客戶端 IP 地址：192.168.1.100

時間戳：2023 年 10 月 11 日：15：30：45 +0000

請求 URL：/index.html

HTTP 方法：GET

HTTP 響應代碼：200

傳輸?shù)淖止?jié)數(shù)：1234

2、組合日志格式通過添加更多字段來擴展通用日志格式，以提供更全面的信息集。除了通用日志格式的字段外，它還包括 referrer 和 user-agent。這種格式對于網(wǎng)絡分析和了解用戶行為特別有用。

下面是 Apache 訪問日志的示例，用于了解如何以組合日志格式記錄公共字段：

203.0.113.25 - - [11/Oct/2023:16:45:22 +0000] "POST /login HTTP/1.1" 401 567 "http://example.com" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36"

客戶端 IP 地址：203.0.113.25

時間戳：2023 年 10 月 11 日：16：45：22 +0000

請求 URL：/login

HTTP 方法：POST

HTTP 響應代碼：401

傳輸?shù)淖止?jié)數(shù)：567

來源頁面：“http://example.com”

User-Agent：“Mozilla/5.0 （Windows NT 10.0;Win64的;x64） AppleWebKit/537.36（KHTML，類似 Gecko）Chrome/58.0.3029.110 Safari/537.36”

除了上述格式外，Apache還允許管理員定義自定義日志格式，以記錄適合其需求的特定信息。自定義日志格式可靈活地捕獲與特定應用程序或分析要求相關的數(shù)據(jù)。管理員可以定義要包含的字段和日志條目的格式。

了解這些格式對于日志分析至關重要，因為它們決定了記錄信息的結構和內(nèi)容。選擇適當?shù)娜罩靖袷饺Q于服務器的具體要求以及要執(zhí)行的分析或監(jiān)視類型。

理解 Apache 日志

處理和理解 Apache 日志可能會很忙?！發(fā)ogs/access.log”中的 CustomLog 指令和“l(fā)og/error.log”中的 ErrorLog 指令使您能夠指定在 Web 服務器級別和單個主機級別生成的訪問和錯誤日志的格式。

請考慮以下日志示例：

Mon Dec 18 08:19:20.613789 2018] [php7:error] [pid 2095] [client 10.10.244.61:24145]script '/var/www/html/settings.php' not found or unable to stat

在此日志中，您至少需要監(jiān)視這五個重要字段，以發(fā)現(xiàn)異常并檢測惡意活動。

%a - 發(fā)出請求的客戶端的 IP 地址。

%U - 請求的頁面的 URL。

%T - 服務器響應請求所花費的時間。

%{UNIQUE_ID}e - 與每個請求關聯(lián)的唯一 ID，用于跟蹤 Apache 服務器和 Web 應用程序服務器之間的請求。

從日志中，您可以看到某些 Web 請求可能無法正確響應。在這種情況下，您需要對錯誤日志進行故障排除，以發(fā)現(xiàn)狀態(tài)代碼、服務器負載和響應時間、異常流量模式和使用的瀏覽器。

為什么 Apache 日志很重要，為什么要監(jiān)控它們

Apache 日志充當 Web 服務器日常生活的監(jiān)視者和勤奮的抄寫員。它們可能看起來像一個不起眼的數(shù)據(jù)集合，但實際上，它們是負責管理網(wǎng)站的 IT 管理員的寶貴資產(chǎn)。這些日志很重要，原因如下：

透明度：Apache 日志提供了 Web 服務器操作的透明度。它們提供用戶交互和服務器響應的未經(jīng)篩選的視圖，幫助您查明服務器性能中的錯誤和問題，例如斷開的鏈接、配置錯誤的設置或資源限制。

安全監(jiān)控：Apache 日志是您的靜默哨兵，記錄對服務器發(fā)出的每個請求。通過審核這些日志，您可以實時識別潛在安全威脅的跡象，包括監(jiān)控惡意或可疑活動。

性能優(yōu)化：這些日志提供有關服務器性能的大量數(shù)據(jù)，監(jiān)控它們有助于優(yōu)化 Web 服務器。它使您能夠診斷服務器錯誤，識別緩慢的請求和資源瓶頸，以及提高響應能力和速度，以提供無縫的用戶體驗。

用戶行為分析：這些日志揭示了您網(wǎng)站訪問者的行為，揭示了用戶如何訪問您的網(wǎng)站、他們最常訪問哪些頁面以及他們?nèi)绾螢g覽內(nèi)容。有了這些信息，你就可以定制你的內(nèi)容并改善用戶體驗，有可能增加參與度和轉(zhuǎn)化率。

異常監(jiān)測：Apache 日志提供所有服務器活動的歷史記錄，可以對其進行分析以檢測異常模式或行為。通過密切關注這些異常情況，您可以主動調(diào)查問題并采取適當?shù)拇胧瑥亩档头罩袛嗷虬踩录娘L險。

Apache 日志就像 Web 服務器的中心。它們?yōu)槟峁┧璧臄?shù)據(jù)，以增強用戶體驗、防范安全威脅、優(yōu)化服務器性能以及就您的數(shù)字資產(chǎn)做出明智的決策。

Apache 日志監(jiān)控

Apache 日志包含有關網(wǎng)絡 Web 活動的關鍵信息。要提取上述字段并檢查日志中的異常情況，您可以使用 grep、regex、tail、cut 等工具。但是，使用命令手動從日志中提取信息將非常耗時。您可以使用有效的日志管理解決方案來收集 apache 日志，對其進行解析和索引以識別必要的字段，并分析日志以識別惡意行為。

EventLog Analyzer是一種日志管理解決方案，可以收集、解析和分析所有版本（包括Apache Tomcat服務器日志）的Apache日志。它使用其強大的關聯(lián)引擎根據(jù)業(yè)務上下文分析日志，并生成全面而直觀的報告，您可以使用EventLog Analyzer為異常Web服務器活動配置警報，它可以通過短信/電子郵件實時通知您即將到來的威脅。

進行Apache訪問日志分析

EventLog Analyzer 是一個多功能的日志管理工具，它使組織能夠主動管理和分析其 Apache 訪問日志。它有助于確保其 Web 服務的安全性和可靠性，并幫助他們更深入地了解服務器的性能和用戶交互。

讓我們看一下它的功能，看看如何利用它來分析 Apache 訪問日志。

綜合報告：通過提供詳細的報表和日志數(shù)據(jù)的圖形表示來簡化日志分析，這些報告提供了有關服務器性能、用戶行為和安全事件的寶貴見解。

可疑活動檢測：工具主動監(jiān)控 Apache 訪問日志識別可疑或惡意行為，它可以幫助您快速發(fā)現(xiàn)安全威脅、未經(jīng)授權的訪問嘗試或用戶交互中的異常模式。

實時警報：可確保管理員立即收到潛在安全事件的通知，當系統(tǒng)檢測到異?；顒訒r，會發(fā)送短信和電子郵件警報，以便立即響應以降低風險。

直觀的報告：預定義報表提供了有關使用模式和異常的寶貴見解，這些報告簡化了識別異?；驖撛趷阂庑袨榈倪^程。

數(shù)據(jù)訪問：該工具允許您向下鉆取原始日志數(shù)據(jù)，并在需要時啟用特定信息檢索，這種詳細程度對于深入調(diào)查和取證很有價值。

日志導入：支持多種Apache版本，包括Apache Tomcat服務器，這種靈活性確保了與各種 Web 服務器設置的兼容性，使日志管理更加無縫。

Apache 訪問日志信息是管理 Web 服務器不可或缺的一部分，使用 EventLog Analyzer 分析它們是增強網(wǎng)絡安全的主動且有效的方法。它使組織能夠有效地檢測、響應和緩解安全威脅，最終保護其 Web 服務器和數(shù)字資產(chǎn)。

審核編輯：湯梓紅