Apache: Модуль Apache mod_log

RU EN

Пункт 160. Модуль Apache mod_log_forensic

Этот модуль обеспечивает криминалистическую регистрацию клиентских запросов. Ведение журнала выполняется до и после обработки запроса, поэтому журнал судебной экспертизы содержит две строки журнала для каждого запроса. Судебный регистратор очень строг, что означает:

Формат фиксированный. Вы не можете изменить формат журнала во время выполнения.
Если он не может записать свои данные, дочерний процесс немедленно завершает работу и может сбрасывать ядро (в зависимости от вашей CoreDumpDirectory конфигурации).

Сценарий check_forensic , который можно найти в каталоге поддержки дистрибутива, может быть полезен при оценке вывода судебного журнала.

Формат журнала судебной экспертизы

Каждый запрос регистрируется два раза. Первый раз — перед дальнейшей обработкой (то есть после получения заголовков). Вторая запись журнала записывается после обработки запроса одновременно с обычным ведением журнала.

Для идентификации каждого запроса присваивается уникальный идентификатор запроса. Этот судебный идентификатор может быть перекрестно зарегистрирован в обычном журнале передачи с использованием %{forensic-id}n строки формата. Если вы используете mod_unique_id , будет использоваться его сгенерированный идентификатор.

В первой строке регистрируется судебный идентификатор, строка запроса и все полученные заголовки, разделенные вертикальной чертой ( | ). Пример строки выглядит следующим образом (все в одной строке):

+yQtJf8CoAB4AAFNXBIEAAAAA|GET /manual/de/images/down.gif HTTP/1.1|Host:localhost%3a8080|User-Agent:Mozilla/5.0 (X11; U; Linux i686; en-US; rv%3a1.6) Gecko/20040216 Firefox/0.8|Accept:image/png, etc...

Знак «плюс» в начале указывает, что это первая строка журнала данного запроса. Вторая строка просто содержит символ минус и снова идентификатор:

-yQtJf8CoAB4AAFNXBIEAAAAA

Сценарий check_forensic принимает в качестве аргумента имя лог-файла. Он ищет эти пары + / - ID и жалуется, если запрос не был выполнен.

Вопросы безопасности

См. документ с советами по безопасности, чтобы узнать, почему ваша безопасность может быть скомпрометирована, если каталог, в котором хранятся файлы журналов, доступен для записи любому, кроме пользователя, запускающего сервер.

Файлы журналов могут содержать конфиденциальные данные, такие как содержимое Authorization: заголовков (которые могут содержать пароли), поэтому они не должны быть доступны для чтения никому, кроме пользователя, запускающего сервер.

Директива ForensicLog

Описание:	Устанавливает имя файла судебного журнала
Синтаксис:	`ForensicLog filename\|pipe`
Контекст:	конфигурация сервера, виртуальный хост
Положение дел:	Расширение
Модуль:	mod_log_forensic

Директива ForensicLog используется для регистрации запросов к серверу для судебного анализа. Каждой записи в журнале назначается уникальный идентификатор, который можно связать с запросом с помощью обычной CustomLog директивы. mod_log_forensic создает токен с именем forensic-id , который можно добавить в журнал передачи с помощью %{forensic-id}n строки формата.

Аргумент, указывающий место, куда будут записываться журналы, может принимать одно из следующих двух типов значений:

имя файла

Имя файла относительно ServerRoot .

трубка

Символ вертикальной черты " | ", за которым следует путь к программе для получения информации журнала на стандартный ввод. Имя программы может быть указано относительно директивы ServerRoot .

Безопасность:

Если используется программа, то она будет запущена от имени пользователя, запустившего httpd . Это будет root, если сервер был запущен root; убедитесь, что программа защищена или переключается на менее привилегированного пользователя.

Примечание

При вводе пути к файлу на платформах, отличных от Unix, следует позаботиться о том, чтобы использовались только прямые косые черты, даже если платформа может разрешать использование обратных косых черт. В общем, рекомендуется всегда использовать косую черту в файлах конфигурации.