Я пытаюсь исследовать какой-то странный трафик, попадающий на мой веб-сервер Apache, но этот трафик вообще не регистрируется сервером. На брандмауэре, который находится между сервером и Интернетом, я вижу, как пакеты приходят и уходят на веб-сервер. Что заставляет меня ломать голову, так это то, что я просмотрел каждый журнал httpd и не нашел входящего запроса. Запрос поступает на порт 80, и что я? m ожидает, что это произойдет, как только Apache получит его, - это направить запрос на https (у меня есть журнал для записи этого трафика). Я также обычно ожидаю увидеть это в журналах для конкретных vhosts, но не удивлен, потому что первый регистратор ничего не показал. Еще я заметил, что все входящие запросы поступают с портов с очень маленькими номерами (<500).
Если вы не укажете уровень debug
или trace [1-8]
в Apache httpd с помощью директивы LogLevel
, сервер почти исключительно регистрирует запросы протокола HTTP (и некоторые сообщения запуска и, конечно, ошибки), но ничего, что не происходит на нижних уровнях.
На уровне по умолчанию LogLevel httpd не будет регистрировать каждое TCP-соединение (telnet к порту 80 и закрывает соединение после его установки, и ничего не будет регистрироваться) также ничего из рукопожатия SSL / TLS (s ) регистрируется по умолчанию (исчерпывающая проверка SSL Labs обычно приводит только к нескольким событиям в журнале) и т.д. и т.п. старайтесь говорить HTTP (то есть обычные подозреваемые, такие как запрос GET /wp-login.php
) очень мало, если что-то регистрируется Apache httpd.
Что у вас есть в этом разделе конфигураций виртуального хоста?
# Available loglevels: trace8, ..., trace1, debug, info, notice, warn,
# error, crit, alert, emerg.
# It is also possible to configure the loglevel for particular
# modules, e.g.
LogLevel info
LogLevel info ssl:warn #(ssl.conf)
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
Проверьте, включены ли они, а затем попробуйте получить дополнительную информацию, изменив информацию
или предупредить
об одном из наиболее подробных уровней .
Какую ОС / дистрибутив вы используете? Что видит брандмауэр сервера?
Вы можете использовать mod_forensics, если вам нужна чрезмерная запись логов на вашем сервере, но это не рекомендуется на производственном сервере.