- ベストアンサー
[Apache]ユーザーアクセスの識別方法
- みんなの回答 (1)
- 専門家の回答
質問者が選んだベストアンサー
ログにUserAgentを出すようにしてみる。 偽装されてたらダメだけど。
関連するQ&A
- SSL通信においてFireFoxのみ画像表示が遅い
CentOS5、apache2によるサーバーを構築し、 mod_sslによるSSLのサイトを作成しています。SSLはgeotrustに よる証明書もインストールしています。 そのうち、画像がある程度存在するページの表示において、 FireFoxのみ表示が極端に遅く最終的に表示されない 画像があります。IE、Opera、safariはまったくもって問題あり ません。 URLをhpptsからhpptに変え非SSLでアクセスすると問題ありません。 FireFoxは2系、3ともに駄目で、標準インストール状態のままです。 違うPCや別のネット環境でも同じでした。 客先で開発中のサイトの為、URLは公開できませんが、apacheの ログ類は以下になります。 ================ ssl_access_log ========================== xxx.xxx.xx.xxx - - [10/Jul/2008:16:04:16 +0900] "GET /test01.html HTTP/1.1" 200 800 xxx.xxx.xx.xxx - - [10/Jul/2008:16:04:16 +0900] "GET /img/point.gif HTTP/1.1" 200 55 xxx.xxx.xx.xxx - - [10/Jul/2008:16:04:16 +0900] "GET /img/img1.jpg HTTP/1.1" 200 20311 xxx.xxx.xx.xxx - - [10/Jul/2008:16:04:16 +0900] "GET /img/img2.jpg HTTP/1.1" 200 22420 xxx.xxx.xx.xxx - - [10/Jul/2008:16:04:37 +0900] "GET /img/img5.jpg HTTP/1.1" 200 29429 xxx.xxx.xx.xxx - - [10/Jul/2008:16:04:37 +0900] "GET /img/img6.jpg HTTP/1.1" 200 18265 xxx.xxx.xx.xxx - - [10/Jul/2008:16:04:37 +0900] "GET /favicon.ico HTTP/1.1" 200 1078 xxx.xxx.xx.xxx - - [10/Jul/2008:16:11:29 +0900] "GET /test01.html HTTP/1.1" 200 800 xxx.xxx.xx.xxx - - [10/Jul/2008:16:11:29 +0900] "GET /img/point.gif HTTP/1.1" 200 55 xxx.xxx.xx.xxx - - [10/Jul/2008:16:11:29 +0900] "GET /img/img1.jpg HTTP/1.1" 200 20311 xxx.xxx.xx.xxx - - [10/Jul/2008:16:11:29 +0900] "GET /img/img2.jpg HTTP/1.1" 200 22420 xxx.xxx.xx.xxx - - [10/Jul/2008:16:11:29 +0900] "GET /img/img3.jpg HTTP/1.1" 200 29027 xxx.xxx.xx.xxx - - [10/Jul/2008:16:11:29 +0900] "GET /img/img4.jpg HTTP/1.1" 200 26110 xxx.xxx.xx.xxx - - [10/Jul/2008:16:11:29 +0900] "GET /img/img5.jpg HTTP/1.1" 200 29429 xxx.xxx.xx.xxx - - [10/Jul/2008:16:11:29 +0900] "GET /img/img6.jpg HTTP/1.1" 200 18265 上記ログはまず16:04頃にFireFoxで、16:11頃にIEで 同じtest01.htmlにアクセスしています。 その際にimg3.jpgとimg4.jpgがFireFoxでのアクセス の場合はGETされていない様子です。 同様アクセスのssl_request_logは以下です。 =============== ssl_request_log ====================== [10/Jul/2008:16:04:16 +0900] xxx.xxx.xx.xxx TLSv1 DHE-RSA-AES256-SHA "GET /test01.html HTTP/1.1" 800 [10/Jul/2008:16:04:16 +0900] xxx.xxx.xx.xxx TLSv1 DHE-RSA-AES256-SHA "GET /img/point.gif HTTP/1.1" 55 [10/Jul/2008:16:04:16 +0900] xxx.xxx.xx.xxx TLSv1 DHE-RSA-AES256-SHA "GET /img/img1.jpg HTTP/1.1" 20311 [10/Jul/2008:16:04:16 +0900] xxx.xxx.xx.xxx TLSv1 DHE-RSA-AES256-SHA "GET /img/img2.jpg HTTP/1.1" 22420 [10/Jul/2008:16:04:37 +0900] xxx.xxx.xx.xxx TLSv1 DHE-RSA-AES256-SHA "GET /img/img5.jpg HTTP/1.1" 29429 [10/Jul/2008:16:04:37 +0900] xxx.xxx.xx.xxx TLSv1 DHE-RSA-AES256-SHA "GET /img/img6.jpg HTTP/1.1" 18265 [10/Jul/2008:16:04:37 +0900] xxx.xxx.xx.xxx TLSv1 DHE-RSA-AES256-SHA "GET /favicon.ico HTTP/1.1" 1078 [10/Jul/2008:16:11:29 +0900] xxx.xxx.xx.xxx TLSv1 AES128-SHA "GET /test01.html HTTP/1.1" 800 [10/Jul/2008:16:11:29 +0900] xxx.xxx.xx.xxx TLSv1 AES128-SHA "GET /img/point.gif HTTP/1.1" 55 [10/Jul/2008:16:11:29 +0900] xxx.xxx.xx.xxx TLSv1 AES128-SHA "GET /img/img1.jpg HTTP/1.1" 20311 [10/Jul/2008:16:11:29 +0900] xxx.xxx.xx.xxx TLSv1 AES128-SHA "GET /img/img2.jpg HTTP/1.1" 22420 [10/Jul/2008:16:11:29 +0900] xxx.xxx.xx.xxx TLSv1 AES128-SHA "GET /img/img3.jpg HTTP/1.1" 29027 [10/Jul/2008:16:11:29 +0900] xxx.xxx.xx.xxx TLSv1 AES128-SHA "GET /img/img4.jpg HTTP/1.1" 26110 [10/Jul/2008:16:11:29 +0900] xxx.xxx.xx.xxx TLSv1 AES128-SHA "GET /img/img5.jpg HTTP/1.1" 29429 [10/Jul/2008:16:11:29 +0900] xxx.xxx.xx.xxx TLSv1 AES128-SHA "GET /img/img6.jpg HTTP/1.1" 18265 ssl_error_log及びerror_logには特に何も出力されていません。 正直、SSLによるhttpサーバ構築等はあまり知識はなくWEBサイト 等を調べて見よう見まねで構築しました。 何かおわかりになる方がおりましたら宜しくお願い致します。
- ベストアンサー
- Linux系OS
- ApacheのAccess.logで質問
回線をADSLにしてからApacheのAccess.logに不明なログが残るように なったのですが、ログ内容が意味不明でわかりません、 ログは以下の通りです。(IPは伏せておきます) xxx.xxx.xxx.xxx - - [09/Sep/2010:22:55:43 +0900] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 401 464 何か専用ソフトでアクセスしているのでしょうか?? ステータスは401なんで 進入はされていない模様ですが。 1日に違うIPから20~50件ぐらい残ります。 ご存知の方、よろしくお願いします。
- ベストアンサー
- その他(インターネット接続・通信)
- apacheのログにHTTP_USER_AGENTを残すには
apacheのログから携帯からのアクセスを切り分けたいのですが、HTTP_USER_AGENTが分かれば分類できるのですが、今取っているapasheのログにはクライアントのipはあるのですが、HTTP_USER_AGENTがありません。これを残すにはどうすればいいでしょうか?
- ベストアンサー
- その他(ITシステム運用・管理)
- Apacheのアクセスログについて
下記のディレクトリにスクリプトが格納されています。 ・/home/ユーザ/html/site/ ブラウザで上記のサイトにアクセスした際のApacheのアクセスログを下記のディレクトリにaccess_logファイルに格納する事は可能ですか。 ※できれば上記のサイトのみのアクセスログ。 ・/home/ユーザ/html/site/log もし可能であるならどのようにすればいいのでしょうか。 申し訳ありませんがアドバイス宜しくお願いします。
- ベストアンサー
- その他(ITシステム運用・管理)
- アクセスログのとり方
以前ここで二重ログインや不正アクセスについて相談して、パスワードやアドレスを変更したり、スパイウェア対策ソフトを入れました。でもそれでも変な症状が出るので、不正アクセスされているかチェックしたいので、プロバイダに連絡したら、↓のメールが来ました。マイクロソフトに聞いたら、プロバイダに聞いてください、と言われましたが、ADSLのアクセスログは個人では調べられないのでしょうか?ISDNの時はアクセスログが自分で見られました。 弊社では下記の情報から調査させていただいており、 アクセスログが無い場合は調査することができかねてしまいます。 ・アクセス者のIPアドレス ・アクセス者のアクセス日時(秒までお知らせいただければ幸いです) ・アクセス内容(ポート80番攻撃など) (記録した【セキュリティソフト等の】アクセスログがありましたら、 そちらをお知らせいただければと思います) <書き方の一例> ------------------------------ xx月xx日(x曜日) アクセス時間:xx時xx分xx秒 アクセス元IP:xxx.xxx.xxx.xxx ポート番号:xxxx アクセス先IP:xxx.xxx.xxx.xxx ポート番号:xxxx ------------------------------ なお、アクセスログの取得方法がご不明な場合には、お客様ご利用のソフトメーカー様へご相談いただきますようお願い申し上げます。
- ベストアンサー
- その他(メールサービス・ソフト)
- Apacheのログに0.0.0.0と記録される
Windows2000 + Apache2.2で運用しております。 Apacheのアクセスログで、combinedで出力させていますが、アクセス元のIPアドレスがすべて「0.0.0.0」と記録されてしまいます。 0.0.0.0 - - [04/Mar/2007:00:16:39 +0900] "GET / HTTP/1.1" 200 164 0.0.0.0 - - [04/Mar/2007:00:16:40 +0900] "GET /favicon.ico HTTP/1.1" 403 1113 このような感じです。外部からも内部からもこのように記録されます。 Linuxで構築していた頃はこのようなことはなかったのですが、どなたか対策法などご存じでしたらご教授ください。
- ベストアンサー
- その他(ITシステム運用・管理)
- Apacheのアクセスログについて
127.0.0.1 - - [10/Mar/2014:19:15:41 +0900] "GET /sample/test HTTP/1.1" 200 622 Apache+TomcatでWebアプリを作成したのですがブラウザのボタンを押下すると たまに応答が返ってこなくなるときがあります。 (ブラウザのタブのアイコンがぐるぐる回って処理中の状態) Apacheのアクセスログを見ると上記のような記述があります。 ネットで調べてみると 末尾の「200」という数値は「リクエストに対する最後のステータスコード」 とありました。「200」は要求が正常に終了したということなのでリクエストに対するレスポンスが ブラウザに返されたという理解でよろしいでしょうか。であれば、ブラウザ(IE9)そのものが 悪いということでしょうか。
- 締切済み
- その他(業務ソフトウェア)
- apacheのaccess.logについて
最近自宅にてdebianでwebサーバーを公開し始めました。 サイトは昔の部活仲間や友達内だけの小さなサイトです。 当初からapacheのaccess.logのログをみて、 さまざまな国からアクセスがあったことを知って戦々恐々としています。 自分のできる対策として.htaccessで日本のIPのみアクセスを許可したり、 sshのポートを変更し、公開鍵認証のみにし、rootログインも禁止したりしました。 ポートは80番とsshのみ開けています。telnetは消しました。 cronでaptitude updateとupgradeを毎日自動でやるよう設定しました。 これでだいぶ国外からのアクセスが減ったのですが、 まだこのような良くわからないアクセスがaccess.logに残ります。 これらについて教えてください。 ----------------------------- 74.7.65.34 - - [07/Dec/2013:23:29:47 +0900] "\x80w\x01\x03\x01" 403 278 "-" "-" 74.7.65.34 - - [07/Dec/2013:23:29:47 +0900] "GET /HNAP1/ HTTP/1.1" 403 503 "http://114.188.50.107/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3 (FM Scene 4.6.1)" ----------------------------- 1-163-194-59.dynamic.hinet.net - - [07/Dec/2013:23:32:59 +0900] "CONNECT mx0.mail2000.com.tw:25 HTTP/1.0" 403 490 "-" "-" 61-228-90-61.dynamic.hinet.net - - [08/Dec/2013:01:42:04 +0900] "CONNECT mx2.mail2000.com.tw:25 HTTP/1.0" 403 490 "-" "-" 61-228-23-159.dynamic.hinet.net - - [08/Dec/2013:04:15:29 +0900] "CONNECT mx0.mail2000.com.tw:25 HTTP/1.0" 403 490 "-" "-" ----------------------------- 20.254.52.119.adsl-pool.jlccptt.net.cn - - [07/Dec/2013:18:52:39 +0900] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 403 490 "-" "ZmEu" 20.254.52.119.adsl-pool.jlccptt.net.cn - - [07/Dec/2013:18:52:39 +0900] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 403 481 "-" "ZmEu" 20.254.52.119.adsl-pool.jlccptt.net.cn - - [07/Dec/2013:18:52:40 +0900] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 479 "-" "ZmEu" 20.254.52.119.adsl-pool.jlccptt.net.cn - - [07/Dec/2013:18:52:40 +0900] "GET /pma/scripts/setup.php HTTP/1.1" 403 476 "-" "ZmEu" 20.254.52.119.adsl-pool.jlccptt.net.cn - - [07/Dec/2013:18:52:40 +0900] "GET /myadmin/scripts/setup.php HTTP/1.1" 403 479 "-" "ZmEu" 20.254.52.119.adsl-pool.jlccptt.net.cn - - [07/Dec/2013:18:52:41 +0900] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 403 479 "-" "ZmEu" ----------------------------- 189.25.210.226 - - [08/Nov/2013:21:47:01 +0900] "-" 408 0 "-" "-" 95.39.62.79 - - [09/Nov/2013:03:46:42 +0900] "\xb7\xda\x84" 501 294 "-" "-" 91.79.51.155 - - [11/Nov/2013:16:05:26 +0900] "\xf7\xa1\xb5K\xa4Q\xd5\x14\xd6\x886{A\xec\xd5\xd2\xbb\x93Z\x04l\xf8\x19" 501 314 "-" "-" 93.174.93.69 - - [29/Nov/2013:02:57:31 +0900] "GET /invoker/JMXInvokerServlet HTTP/1.0" 404 505 "-" "-" 221.122.80.105 - - [25/Nov/2013:09:41:08 +0900] "POST /cgi-bin/php.cgi?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.1" 404 495 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25" ----------------------------- 相手のIPまんまですが 一つ目の「74.7.65.34」のアメリカからのアクセスの "\x80w\x01\x03\x01" 403 278 "-" "-" の「\x80w\x01\x03\x01」はいったいなんですか? 二つ目の台湾からのアクセスについてわかることを教えてください。 あと自分は初心者ではっきりとはわからないのですが、 三つ目のアメリカからのアクセスは明らかに悪意のあるような気がしますが、 わかることを教えてください。 四つ目の5つは古いログであまり対策がとられていなかったころのものですが、 「"-" 408 0 "-" "-"」「"\xb7\xda\x84"」なの意味がわからないのですが、 これらは悪意のあるアクセスですか。わかることを教えてください。
- ベストアンサー
- ネットワーク
- サーバへの不自然なアクセス
初心者ながらサーバ管理をやっているものです。 今日、HTTPサーバのアクセスログを見ていて発見したのですが、 ここ数日、13時30分頃から約10分の間に、 30~40件の不自然なアクセスがあるようです。 その特徴を箇条書きにします ・参照元クライアントのIPアドレスは同じ(ただし日によって異なる) ・そのIPはJPNICのWHOISによると大手ネットワーク業者が所有するIPとなっている(日によって業者が異なる) ・参照先サイトのURLは "http:"から始まる完全なもので、全てアダルトサイト ・METHODにはGETもPOSTも使用 ・こちらのサーバには存在しないドキュメントを参照されている(しかもドメイン名が完全に異なっている) これはログの一部です xxx.xxx.xxx.xxx - - [12/Mar/2001:13:38:44 +0900] "GET http://www.topjapan.com/free/index.html HTTP/1.0" 200 11698 (アクセス元のIPは伏せています) 私が管理しているサーバのドメイン名はもちろん"topjapan.com"ではありません。 おそらくダイアルアップかなにかで接続している人の要求が こちらのサーバにきてしまっているのだと思うんですが、 まったく原因がわかりません。 原因がわかる方がいれば、是非、教えていただきたいです。
- ベストアンサー
- その他(インターネット接続・通信)
- apacheのログ
Apacheのログの見方を教えてください。 生ログは以下のようになってます。 fw.gmo-ht.com - - [16/Feb/2004:10:05:07 +0900] "GET /freecgi2/Count.cgi?md=8&dd=cdd&ft=5&df=SampleData HTTP/1.1" 200 445 "http://ultra1.isle.jp/hara/haraPW.html" "Mozilla/5.0 (Windows; U; Windows NT 5.0; ja-JP; rv:1.4) Gecko/20030624 Netscape/7.1 (ax)" "-" バージョンはApache 1.3.28なのですが、これがどういう項目で並んでいるのかがわかりません。(なんとなく検討はつくのですが。) どなたか、apacheログについて詳しく記載されているHPなどありましたら教えてください。 よろしくお願いいたします。
- ベストアンサー
- ブラウザ
