Apache Web 服務器在企業中廣泛用于托管其網站和 Web 應用程序，Apache 服務器生成的原始日志提供有關 Apache 服務器托管的網站如何處理用戶請求以及訪問您的網站時經常遇到的錯誤的重要信息。

什么是 Apache 日志

Apache 日志包含 Apache Web 服務器處理的所有事件的記錄 - 從各種計算機發送的 Web 請求、已處理的請求、從 Apache 服務器發送到主機的響應以及被阻止的惡意請求。

Apache Web 服務器生成兩種類型的日志：

Apache 訪問日志

Apache 錯誤日志

Apache 訪問日志

Apache 訪問日志是Apache HTTP 服務器，通常稱為 Apache。它們是由Web服務器創建和維護的一種日志文件，用于記錄向服務器發出的每個HTTP請求的時間順序和詳細歷史記錄。這些日志提供每個服務器活動的記錄，包括有關誰在訪問服務器、他們請求什么以及服務器如何響應這些請求的信息。

例：

127.0.0.1 - Jina [22/Feb/2017:10:34:12 -0700] "GET /sale-image.png HTTP/2" 200 1479

簡單來說，Apache 訪問日志是結構化日志捕獲有關與 Web 服務器的每次交互的基本信息的記錄。它們充當所有傳入請求及其結果的歷史帳戶。這些日志對于監視、分析和排除 Web 服務器操作的各個方面的問題至關重要。

Apache 訪問日志中通常記錄哪些類型的信息

理解和解釋 Apache 訪問日志對于有效管理 Web 服務器并對其進行故障排除至關重要。首先，讓我們看一下訪問日志和 HTTP 響應代碼中的典型信息。

訪問日志捕獲各種信息，這些信息提供有關每個 HTTP 請求的詳細信息，如下所示：

客戶端 IP 地址字段記錄發出請求的客戶端的 IP 地址。它有助于識別請求的來源或來源。

時間戳指示發出請求的日期和時間。這有助于跟蹤特定操作的發生時間，從而更輕松地關聯事件。

請求 URL表示客戶端請求的 URL。它指示正在訪問的特定資源或內容。

HTTP 方法表示發出請求的具體方法或類型，例如 GET、POST、PUT、DELETE 等。

HTTP 響應代碼或者狀態代碼是服務器返回的 HTTP 請求的結果，指示請求是成功、重定向還是遇到錯誤。以下是常見代碼：

200：表示請求成功，通常返回請求的內容。

301/302：表示重定向，這意味著客戶端應遵循提供的新 URL。

404：表示未找到請求的資源。

403：表示被禁止的請求（即客戶端無權訪問資源）。

401：指示請求需要身份驗證（即客戶端必須提供有效的憑據才能訪問資源）。

傳輸的字節數是響應請求而從服務器傳輸到客戶端的數據量。這表示響應的大小。

用戶代理string 提供有關客戶端瀏覽器或用戶代理的信息，包括瀏覽器類型和版本。這對于跟蹤網站訪問者使用的技術很有用。

引薦顯示將客戶端引用到當前頁面的網頁或資源的 URL。它有助于了解流量的來源。

這些數據點提供了每個 HTTP 請求的全面視圖，幫助管理員和開發人員診斷問題，了解其 Web 服務器的使用情況，并就站點性能和安全性做出明智的決策。

Apache 錯誤日志

Apache 錯誤日志包含有關 Web 服務器在處理請求時遇到的錯誤的信息。它記錄了所有錯誤或信息，從“文件不存在”等次要錯誤或信息到“拒絕訪問”等主要錯誤或信息，以達到對網絡的潛在威脅。錯誤日志使用 LogLevel 指令（如 level、emerg、alert、crit、error、warn、notice、info、debug）表示錯誤級別。

例：

Tue Feb 18 08:19:20.613789 2020] [php7:error] [pid 2045] [client 10.10.244.61:24145]script '/var/www/html/settings.php' not found or unable to stat

在哪里可以找到 Apache 訪問和錯誤日志

Apache 訪問和錯誤日志位于安裝了 Apache 的 Web 服務器上。訪問日志的具體路徑可能因操作系統和 Apache 配置而異。下面列出了一些可以找到 Apache 訪問日志的常見位置：

操作系統	訪問日志的位置	錯誤日志的位置
Debian/Ubuntu/Linux Mint	/var/log/apache2/access.log	/var/log/apache2/error.log
Red Hat/ Fedora/ CentOS	/var/log/httpd/access_log	/var/log/httpd/error_log
OpenSuse	/var/log/apache2/access_log	/var/log/apache2/error_log
Windows	C:Program FilesApache GroupApache2logsaccess.log	C:Program FilesApache GroupApache2logsaccess.log.1

如果無法在這些位置找到 Apache 日志，可能是因為已使用 CustomLog 和 ErrorLog 指令為訪問日志和錯誤日志配置了不同的位置。此外，如果您在 Apache 配置中自定義了日志位置，則需要檢查該特定位置。

Apache訪問日志常用的格式有哪些，如何理解

Apache 訪問日志有多種格式，最常見的包括通用日志格式和組合日志格式。這些格式決定了日志條目的結構，這些條目記錄了有關每個 HTTP 請求的信息。

讓我們通過相關示例看一下每種日志格式：

1、通用日志格式是一種廣泛使用的格式，它以空格分隔的格式提供有關每個請求的一組基本信息。它包括客戶端的 IP 地址、請求的日期和時間、請求方法、請求的 URL、HTTP 版本、HTTP 響應代碼以及響應中發送的字節數等詳細信息。

下面是 Apache 訪問日志的示例，用于了解如何以通用日志格式記錄公共字段：

192.168.1.100 - - [11/Oct/202330:45 +0000] "GET /index.html HTTP/1.1" 200 1234

客戶端 IP 地址：192.168.1.100

時間戳：2023 年 10 月 11 日：15：30：45 +0000

請求 URL：/index.html

HTTP 方法：GET

HTTP 響應代碼：200

傳輸的字節數：1234

2、組合日志格式通過添加更多字段來擴展通用日志格式，以提供更全面的信息集。除了通用日志格式的字段外，它還包括 referrer 和 user-agent。這種格式對于網絡分析和了解用戶行為特別有用。

下面是 Apache 訪問日志的示例，用于了解如何以組合日志格式記錄公共字段：

203.0.113.25 - - [11/Oct/2023:16:45:22 +0000] "POST /login HTTP/1.1" 401 567 "http://example.com" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36"

客戶端 IP 地址：203.0.113.25

時間戳：2023 年 10 月 11 日：16：45：22 +0000

請求 URL：/login

HTTP 方法：POST

HTTP 響應代碼：401

傳輸的字節數：567

來源頁面：“http://example.com”

User-Agent：“Mozilla/5.0 （Windows NT 10.0;Win64的;x64） AppleWebKit/537.36（KHTML，類似 Gecko）Chrome/58.0.3029.110 Safari/537.36”

除了上述格式外，Apache還允許管理員定義自定義日志格式，以記錄適合其需求的特定信息。自定義日志格式可靈活地捕獲與特定應用程序或分析要求相關的數據。管理員可以定義要包含的字段和日志條目的格式。

了解這些格式對于日志分析至關重要，因為它們決定了記錄信息的結構和內容。選擇適當的日志格式取決于服務器的具體要求以及要執行的分析或監視類型。

理解 Apache 日志

處理和理解 Apache 日志可能會很忙。“logs/access.log”中的 CustomLog 指令和“log/error.log”中的 ErrorLog 指令使您能夠指定在 Web 服務器級別和單個主機級別生成的訪問和錯誤日志的格式。

請考慮以下日志示例：

Mon Dec 18 08:19:20.613789 2018] [php7:error] [pid 2095] [client 10.10.244.61:24145]script '/var/www/html/settings.php' not found or unable to stat

在此日志中，您至少需要監視這五個重要字段，以發現異常并檢測惡意活動。

%a - 發出請求的客戶端的 IP 地址。

%U - 請求的頁面的 URL。

%T - 服務器響應請求所花費的時間。

%{UNIQUE_ID}e - 與每個請求關聯的唯一 ID，用于跟蹤 Apache 服務器和 Web 應用程序服務器之間的請求。

從日志中，您可以看到某些 Web 請求可能無法正確響應。在這種情況下，您需要對錯誤日志進行故障排除，以發現狀態代碼、服務器負載和響應時間、異常流量模式和使用的瀏覽器。

為什么 Apache 日志很重要，為什么要監控它們

Apache 日志充當 Web 服務器日常生活的監視者和勤奮的抄寫員。它們可能看起來像一個不起眼的數據集合，但實際上，它們是負責管理網站的 IT 管理員的寶貴資產。這些日志很重要，原因如下：

透明度：Apache 日志提供了 Web 服務器操作的透明度。它們提供用戶交互和服務器響應的未經篩選的視圖，幫助您查明服務器性能中的錯誤和問題，例如斷開的鏈接、配置錯誤的設置或資源限制。

安全監控：Apache 日志是您的靜默哨兵，記錄對服務器發出的每個請求。通過審核這些日志，您可以實時識別潛在安全威脅的跡象，包括監控惡意或可疑活動。

性能優化：這些日志提供有關服務器性能的大量數據，監控它們有助于優化 Web 服務器。它使您能夠診斷服務器錯誤，識別緩慢的請求和資源瓶頸，以及提高響應能力和速度，以提供無縫的用戶體驗。

用戶行為分析：這些日志揭示了您網站訪問者的行為，揭示了用戶如何訪問您的網站、他們最常訪問哪些頁面以及他們如何瀏覽內容。有了這些信息，你就可以定制你的內容并改善用戶體驗，有可能增加參與度和轉化率。

異常監測：Apache 日志提供所有服務器活動的歷史記錄，可以對其進行分析以檢測異常模式或行為。通過密切關注這些異常情況，您可以主動調查問題并采取適當的措施，從而降低服務中斷或安全事件的風險。

Apache 日志就像 Web 服務器的中心。它們為您提供所需的數據，以增強用戶體驗、防范安全威脅、優化服務器性能以及就您的數字資產做出明智的決策。

Apache 日志監控

Apache 日志包含有關網絡 Web 活動的關鍵信息。要提取上述字段并檢查日志中的異常情況，您可以使用 grep、regex、tail、cut 等工具。但是，使用命令手動從日志中提取信息將非常耗時。您可以使用有效的日志管理解決方案來收集 apache 日志，對其進行解析和索引以識別必要的字段，并分析日志以識別惡意行為。

EventLog Analyzer是一種日志管理解決方案，可以收集、解析和分析所有版本（包括Apache Tomcat服務器日志）的Apache日志。它使用其強大的關聯引擎根據業務上下文分析日志，并生成全面而直觀的報告，您可以使用EventLog Analyzer為異常Web服務器活動配置警報，它可以通過短信/電子郵件實時通知您即將到來的威脅。

進行Apache訪問日志分析

EventLog Analyzer 是一個多功能的日志管理工具，它使組織能夠主動管理和分析其 Apache 訪問日志。它有助于確保其 Web 服務的安全性和可靠性，并幫助他們更深入地了解服務器的性能和用戶交互。

讓我們看一下它的功能，看看如何利用它來分析 Apache 訪問日志。

綜合報告：通過提供詳細的報表和日志數據的圖形表示來簡化日志分析，這些報告提供了有關服務器性能、用戶行為和安全事件的寶貴見解。

可疑活動檢測：工具主動監控 Apache 訪問日志識別可疑或惡意行為，它可以幫助您快速發現安全威脅、未經授權的訪問嘗試或用戶交互中的異常模式。

實時警報：可確保管理員立即收到潛在安全事件的通知，當系統檢測到異常活動時，會發送短信和電子郵件警報，以便立即響應以降低風險。

直觀的報告：預定義報表提供了有關使用模式和異常的寶貴見解，這些報告簡化了識別異常或潛在惡意行為的過程。

數據訪問：該工具允許您向下鉆取原始日志數據，并在需要時啟用特定信息檢索，這種詳細程度對于深入調查和取證很有價值。

日志導入：支持多種Apache版本，包括Apache Tomcat服務器，這種靈活性確保了與各種 Web 服務器設置的兼容性，使日志管理更加無縫。

Apache 訪問日志信息是管理 Web 服務器不可或缺的一部分，使用 EventLog Analyzer 分析它們是增強網絡安全的主動且有效的方法。它使組織能夠有效地檢測、響應和緩解安全威脅，最終保護其 Web 服務器和數字資產。

審核編輯：湯梓紅