Linux Log Analizi — Apache Logları
Apache loglarını loglanma biçimi /etc/apache2/apache2.conf’ta belirlenmektedir.
Örnek bir log formatı:
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-agent}i\"" combinedCustomLog log/access_log combined
Log formatındaki ifadeler aşağıdaki şekildedir:
%h — İstek Yapan IP Adresi
%l — Tire koymak için kullanılır.
%u — HTTP kimlik doğrulamasıyla saptanan kullanıcı kimliğidir.
%t — Zaman bilgisini içerir. Formatı gün/ay/yıl:saat:dakika:saniye dilim şeklindedir.
%r — HTTP_Metodu İstek_Yapılan_Yol HTTP_Protokolü
%>s — Sunucu tarafından belirtilen durum kodu
%b — Cevaın yanıt başlığı hariç uzunluğudur.
%{Referer}i — İsteğin hangi sayfadan geldiğini gösterir.
%{User-agent}i — User_Agent bilgisini içerir.
Buna göre örnek loglar aşağıdaki şekildedir:
Apache loglarında isteğin data kısmı görüntülenmemektedir. Data kısmının görüntülenmesi için modsecurity veya dumpio kurulabilir. İlerleyen yazılarda dumpio ve modsecurity kurulumunda bahsedilecektir.
Web saldırılarının analizinde data kısmına ve User-Agent bilgisine odaklanabiliriz.
