Apache 模組 mod_log_forensic 幫助判斷是否有不正常連線

Apache 除了 access_log 與 error_log 還內鍵一個 mod_log_forensic

1. 它會記錄 request 的開始 (+) 與結束 (-)
2. 所以在 log 檔會看到兩筆記錄，同一個 request
3. log 的格式是固定的，無法變更
4. 也記錄表頭資訊

只要在 conf 裡加入 (如下)

LoadModule log_forensic_module modules/mod_log_forensic.so
ForensicLog logs/forensic_log

log 內容

+168d:52c86904:1|GET /?p=995 HTTP/1.1|Host:ssorc.tw|User-Agent:Mozilla/5.0 (compatible; Linux x86_64; Mail.RU_Bot/2.0; +http%3a//go.mail.ru/help/robots)|Accept:*/*|Accept-Language:ru,by;q=0.7,en;q=0.7,kz;q=0.7,ua;q=0.7,*;q=0.1|
Connection:close
-168d:52c86904:1

log_forensic 有一個 check_forensic 工具，可以快速過濾 forensic_log 檔裡有問題的

check_forensic /var/log/httpd/forensic_log

結論 :

目前看不出有什麼多大的 幫助 @@

1. forensic log 裡沒有時間戳 !? 我怎麼判斷什麼時候發生的 !!
2. 沒有來源 IP !?
3. check_forensic 時是沒什麼異常，看來大家很善待我的網站

參考

1. http://cyrilwang.blogspot.tw/2013/12/apache-modlogforensic.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed:+blogspot/VQlq+(%E5%B0%B1%E6%98%AF%E8%B3%87%E5%AE%89)
2. http://svn.apache.org/repos/asf/httpd/sandbox/replacelimit/support/check_forensic
3. http://httpd.apache.org/docs/2.2/mod/mod_log_forensic.html