Apache 定制日志

文章目录

最近公司服务器不断被攻击，很是伤脑筋啊。

判定攻击源和确定处理办法的第一步自然是查看日志，但是一看，有一种蛋蛋的忧桑……居然只有最基本的IP、访问时间、访问页面等信息，连user-agent都木有啊。

其实Apache的日志还是很强大的，我们可以在httpd.conf中找到下面这段代码：

LogFormat \"%h %l %u %t \"%r\" %>s %b\" common

这就是日志格式定义的地方。该行指令创建了一种名为“common”的日志格式，日志的格式在双引号包围的内容中指定。格式字符串中的每个变量代表着一项特定的信息，这些信息按照格式串规定的次序写入到日志文件。

%...a: 远程IP地址 
%...A: 本地IP地址 
%...B: 已发送的字节数，不包含HTTP头 
%...b: CLF格式的已发送字节数量，不包含HTTP头。 
例如当没有发送数据时，写入‘-’而不是0。 
%e: 环境变量FOOBAR的内容 
%...f: 文件名字 
%...h: 远程主机 
%...H 请求的协议 
%i: Foobar的内容，发送给服务器的请求的标头行。 
%...l: 远程登录名字（来自identd，如提供的话） 
%...m 请求的方法 
%n: 来自另外一个模块的注解“Foobar”的内容 
%o: Foobar的内容，应答的标头行 
%...p: 服务器响应请求时使用的端口 
%...P: 响应请求的子进程ID。 
%...q 查询字符串（如果存在查询字符串，则包含“?”后面的 
部分；否则，它是一个空字符串。） 
%...r: 请求的第一行 
%...s: 状态。对于进行内部重定向的请求，这是指*原来*请求 
的状态。如果用%...>s，则是指后来的请求。 
%...t: 以公共日志时间格式表示的时间（或称为标准英文格式） 
%t: 以指定格式format表示的时间 
%...T: 为响应请求而耗费的时间，以秒计 
%...u: 远程用户（来自auth；如果返回状态（%s）是401则可能是伪造的） 
%...U: 用户所请求的URL路径 
%...v: 响应请求的服务器的ServerName 
%...V: 依照UseCanonicalName设置得到的服务器名字

在所有上面列出的变量中，“…”表示一个可选的条件。如果没有指定条件，则变量的值将以“-”取代。分析前面来自默认httpd.conf文件的LogFormat指令示例，可以看出它创建了一种名为“common”的日志格式，其中包括：远程主机、远程登录名字、远程用户、请求时间、请求的第一行代码、请求状态，以及发送的字节数（LogFormat "%h %l %u %t "%r" %>s %b" common）
有时候我们只想在日志中记录某些特定的、已定义的信息，这时就要用到”…”。如果在“%”和变量之间放入了一个或者多个HTTP状态代码，则只有当请求返回的状态属于指定的状态代码之一时，变量所代表的内容才会被记录。

观察刚才定义common处的上下文，我们还可以发现apache的默认配置文件就预置了多种格式，而combined就是我所需要的。只要把每个访问目录的CustomLog都使用combined就可以了。

PS：最后确定是CC攻击。小样们，我们准备好了。