Apache. Документация на русском


Разделы:   1    2    3    4    5    6    7    8    9      10      11    12    13    14    15    16  

Раздел 10. Модули Апача

Пункты:   85    86    88    89    90    91    92    93    94    95    96    97    98    99    100    101    102    103    104    105    106    107    108    109    110    111    112    113    114    115    116    117    118    119    120    121    122    123    124    125    126    127    128    129    130    131    132    133    134    135    136    137    138    139    140    141    142    143    144    145    146    147    148    149    150    151    152    153    154    155    156    157    158    159      160      161    163    164    165    166    167    168    170    171    172    173    174    175    176    177    178    179    180    181    182    183    184    185    186    187    188    189    190    191    192    193    194    195    196    197    198    199    200    201    203    204    205    206    207    208    209    210    211    212    213  

 <         > 
  RU            EN  

Пункт 160. Модуль Apache mod_log_forensic

Этот модуль обеспечивает криминалистическую регистрацию клиентских запросов. Ведение журнала выполняется до и после обработки запроса, поэтому журнал судебной экспертизы содержит две строки журнала для каждого запроса. Судебный регистратор очень строг, что означает:

  • Формат фиксированный. Вы не можете изменить формат журнала во время выполнения.
  • Если он не может записать свои данные, дочерний процесс немедленно завершает работу и может сбрасывать ядро (в зависимости от вашей CoreDumpDirectory конфигурации).

Сценарий check_forensic , который можно найти в каталоге поддержки дистрибутива, может быть полезен при оценке вывода судебного журнала.

Формат журнала судебной экспертизы

Каждый запрос регистрируется два раза. Первый раз — перед дальнейшей обработкой (то есть после получения заголовков). Вторая запись журнала записывается после обработки запроса одновременно с обычным ведением журнала.

Для идентификации каждого запроса присваивается уникальный идентификатор запроса. Этот судебный идентификатор может быть перекрестно зарегистрирован в обычном журнале передачи с использованием %{forensic-id}n строки формата. Если вы используете mod_unique_id , будет использоваться его сгенерированный идентификатор.

В первой строке регистрируется судебный идентификатор, строка запроса и все полученные заголовки, разделенные вертикальной чертой ( | ). Пример строки выглядит следующим образом (все в одной строке):

+yQtJf8CoAB4AAFNXBIEAAAAA|GET /manual/de/images/down.gif HTTP/1.1|Host:localhost%3a8080|User-Agent:Mozilla/5.0 (X11; U; Linux i686; en-US; rv%3a1.6) Gecko/20040216 Firefox/0.8|Accept:image/png, etc...

Знак «плюс» в начале указывает, что это первая строка журнала данного запроса. Вторая строка просто содержит символ минус и снова идентификатор:

-yQtJf8CoAB4AAFNXBIEAAAAA

Сценарий check_forensic принимает в качестве аргумента имя лог-файла. Он ищет эти пары + / - ID и жалуется, если запрос не был выполнен.

Вопросы безопасности

См. документ с советами по безопасности, чтобы узнать, почему ваша безопасность может быть скомпрометирована, если каталог, в котором хранятся файлы журналов, доступен для записи любому, кроме пользователя, запускающего сервер.

Файлы журналов могут содержать конфиденциальные данные, такие как содержимое Authorization: заголовков (которые могут содержать пароли), поэтому они не должны быть доступны для чтения никому, кроме пользователя, запускающего сервер.



Директива ForensicLog

Описание:Устанавливает имя файла судебного журнала
Синтаксис: ForensicLog filename|pipe
Контекст:конфигурация сервера, виртуальный хост
Положение дел:Расширение
Модуль:mod_log_forensic

Директива ForensicLog используется для регистрации запросов к серверу для судебного анализа. Каждой записи в журнале назначается уникальный идентификатор, который можно связать с запросом с помощью обычной CustomLog директивы. mod_log_forensic создает токен с именем forensic-id , который можно добавить в журнал передачи с помощью %{forensic-id}n строки формата.

Аргумент, указывающий место, куда будут записываться журналы, может принимать одно из следующих двух типов значений:

имя файла
Имя файла относительно ServerRoot .
трубка
Символ вертикальной черты " | ", за которым следует путь к программе для получения информации журнала на стандартный ввод. Имя программы может быть указано относительно директивы ServerRoot .

Безопасность:

Если используется программа, то она будет запущена от имени пользователя, запустившего httpd . Это будет root, если сервер был запущен root; убедитесь, что программа защищена или переключается на менее привилегированного пользователя.

Примечание

При вводе пути к файлу на платформах, отличных от Unix, следует позаботиться о том, чтобы использовались только прямые косые черты, даже если платформа может разрешать использование обратных косых черт. В общем, рекомендуется всегда использовать косую черту в файлах конфигурации.



 <         > 

Пункты:   85    86    88    89    90    91    92    93    94    95    96    97    98    99    100    101    102    103    104    105    106    107    108    109    110    111    112    113    114    115    116    117    118    119    120    121    122    123    124    125    126    127    128    129    130    131    132    133    134    135    136    137    138    139    140    141    142    143    144    145    146    147    148    149    150    151    152    153    154    155    156    157    158    159      160      161    163    164    165    166    167    168    170    171    172    173    174    175    176    177    178    179    180    181    182    183    184    185    186    187    188    189    190    191    192    193    194    195    196    197    198    199    200    201    203    204    205    206    207    208    209    210    211    212    213  

Рейтинг@Mail.ru