Analyser les journaux d'accès bruts archivés de cPanel

Navigation :

Afficher les journaux archivés Analyser les adresses IP Analyser les agents utilisateurs Analyser les URL Analyser les référents

Dans cet article, je vais vous apprendre à analyser les journaux d'accès bruts archivés à partir de votre VPS cPanel (Virtual Private Server) ou de votre serveur dédié. L'examen des demandes à partir de vos journaux d'accès bruts archivés peut aider à mettre en lumière une demande ou un utilisateur problématique courant causant des problèmes de serveur que vous n'auriez peut-être pas pu détecter autrement.

Avant d'essayer de suivre ce guide, vous devriez déjà avoir lu mon article sur la façon d'activer l'archivage des journaux d'accès bruts pour tous les comptes cPanel afin que vous ayez réellement archivé les journaux d'accès bruts à examiner.

La méthode que nous allons passer en revue pour analyser ces journaux d'accès bruts est très pratique, car vous pouvez le faire directement sur le serveur, au lieu d'avoir à accéder aux journaux d'accès bruts dans cPanel, ce qui vous oblige à télécharger les journaux sur votre propre ordinateur. d'abord.

Pour suivre ce guide, vous aurez besoin d'un accès root à votre VPS ou à votre serveur dédié afin d'avoir un accès complet pour lire tous les journaux archivés.

Examiner les journaux d'accès bruts archivés

En suivant les étapes ci-dessous, je vais vous montrer comment vous connecter à votre serveur et exécuter une commande pour lire vos différents journaux d'accès bruts archivés.

1. Connectez-vous à votre serveur via SSH en tant qu'utilisateur root.
2. Examinez toutes les demandes qui ont eu lieu au cours du mois de janvier 2013 à l'aide de la commande suivante :

   zgrep "Jan/2013" /home/*/logs/*-Jan-2013.gz | moins

   Vous pourrez utiliser Page Up et Page suivante pour faire défiler de haut en bas toutes les données du journal.

   Vous pouvez également utiliser une barre oblique / qui mettra le moins commande en mode de recherche. Ainsi, par exemple, après avoir tapé / si vous le suivez avec 8/Jan vous serez redirigé vers la section des journaux du 8 janvier.

   Une fois que vous avez terminé de consulter le journal de cette façon, vous pouvez simplement appuyer sur q pour quitter le moins commande.

   Vous devriez voir des entrées comme celle-ci, dans ce cas, nous pouvons voir que ces lignes proviennent de notre example.com site appartenant à userna5 utilisateur :

   /home/userna5/logs/example.com-Jan-2013.gz:123.123.123.123 – – [01/Jan/2013:00:09:10 -0500] « GET /category/linux/ HTTP/1.1 » 200 3063 "-" "Mozilla/5.0 (compatible ; AhrefsBot/4.0 ; +https://ahrefs.com/robot/)"
   /home/userna5/logs/example.com-Jan-2013.gz:123.123.123.123 – – [01/Jan/2013:02:57:05 -0500] « GET /2010/12/ HTTP/1.1 » 200 5197 "-" "Mozilla/5.0 (compatible ; AhrefsBot/4.0 ; +https://ahrefs.com/robot/)"
   /home/userna5/logs/example.com-Jan-2013.gz:123.123.123.123 – – [01/Jan/2013:04:06:32 -0500] "POST /wp-cron.php HTTP/1.0" 200 – « - » « WordPress/3.4.1; https://atomlabs.net”
   /home/userna5/logs/example.com-Jan-2013.gz:123.123.123.123 – – [01/Jan/2013:04:06:29 -0500] "GET /wp-login.php HTTP/1.1" 200 2147 "-" "Mozilla/5.0 (compatible ; AhrefsBot/4.0 ; +https://ahrefs.com/robot/)"

Analyser les adresses IP à partir des journaux d'accès bruts archivés

Ci-dessous, je vais montrer comment analyser toutes les adresses IP de vos journaux d'accès bruts pour example.com domaine.

1. Exécutez cette commande :

   zgrep "Jan/2013" /home/userna5/logs/example.com-Jan-2013.gz | sed 's#:# #' | awk '{imprimer $2}' | trier -n | uniq-c | trier -n

   Cela renverra des informations comme celle-ci :

   76 123.123.123.129
   80 123.123.123.124
   599 123.123.123.125
   6512 123.123.123.123

Analyser les agents utilisateurs à partir des journaux d'accès bruts archivés

Analysez tous les agents utilisateurs de vos journaux d'accès bruts pour example.com domaine.

1. Exécutez cette commande :

   zgrep “Jan/2013″ /home/userna5/logs/example.com-Jan-2013.gz | awk -F" '{imprimer $6}' | trier | uniq-c | trier -n

   Cela renverra des informations comme celle-ci :

   192 Mozilla/5.0 (compatible ; YandexBot/3.0 ; +https://yandex.com/bots)
   340 Mozilla/5.0 (compatible ; Baiduspider/2.0 ; +https://www.baidu.com/search/spider.html)
   1509 Mozilla/5.0 (compatible; SISTRIX Crawler; https://crawler.sistrix.net/)
   5548 Mozilla/5.0 (compatible ; AhrefsBot/4.0 ; +https://ahrefs.com/robot/)

Analyser les URL demandées à partir des journaux d'accès bruts archivés

Ci-dessous, je vais montrer comment analyser toutes les URL demandées à partir de vos journaux d'accès bruts pour example.com domaine.

1. Exécutez cette commande :

   zgrep "Jan/2013" /home/userna5/logs/example.com-Jan-2013.gz | awk '{print $7}' | trier | uniq-c | trier -n

   Cela renverra des informations comme celle-ci :

   172 /wp-login.php
   201 /robots.txt
   380 /
   2017 /opencart/undefined

Analyser les référents des journaux d'accès bruts archivés

Ci-dessous, je vais montrer comment analyser tous les référents de vos journaux d'accès bruts pour example.com domaine.

1. Exécutez cette commande :

   zgrep “Jan/2013″ /home/userna5/logs/example.com-Jan-2013.gz | awk -F" '{print $4}' | trier | uniq-c | trier -n

   Cela renverra des informations comme celle-ci :

   219 https://example.com/prestashop/index.php
   337 https://example.com/list/admin/
   2009 https://exemple.com/
   2522 https://example.com/opencart/

Vous devez maintenant comprendre parfaitement comment vous pouvez analyser vos journaux d'accès bruts archivés sur votre serveur pour mieux comprendre les requêtes en cours, ce qui peut entraîner des problèmes d'utilisation du serveur.

Vous pourriez également être intéressé par la lecture de mon article sur le blocage des utilisateurs indésirables de votre site à l'aide de .htaccess pour une explication détaillée sur la façon dont vous pourriez bloquer les utilisateurs qui causent un nombre excessif de requêtes sur vos sites.