Tengo un problema con un servidor que sigue cayendo. Al revisar los registros de errores de Apache, parece provenir de un script PHP no autorizado. Estoy tratando de rastrear esto usando error_log y access_log de Apache, pero el formato de registro del servidor no me brinda los detalles que necesito.
Sospecho que el formato de registro no es suficiente, pero revisé la documentación de Apache e incluí los modificadores que creo que necesito ver.
Aquí está mi configuración LogFormat en el archivo httpd.conf:
`LogFormat "%h %l %u %t \"%r\" %>s %b %U %q %T \"%{Referer}i\" \"%{User-Agent}i\"" extendido
Registros CustomLog/access_log extendido`
Al usar los modificadores %U %q %T esperaba ver la URL solicitada, la cadena de consulta y el tiempo que tomó atender la solicitud, pero no veo nada de esta información cuando sigo el registro.
He aquí un ejemplo:
127.0.0.1 - - [01/jun/2010:14:12:04 +0100] "OPCIONES * HTTP/1.0" 200 - * 0 "-" "Apache/2.2.15 (Unix) mod_ssl/2.2.15 OpenSSL/ 0.9.8e-fips-rhel5 mod_bwlimited/1.4 (conexión ficticia interna)" 127.0.0.1 - - [01/Jun/2010:14:12:05 +0100] "OPCIONES * HTTP/1.0" 200 - * 0 "-" "Apache/2.2.15 (Unix) mod_ssl/2.2.15 OpenSSL/0.9.8e-fips-rhel5 mod_bwlimited/1.4 (conexión ficticia interna)" 127.0.0.1 - - [01/Jun/2010:14:12:06 + 0100] "OPCIONES * HTTP/1.0" 200 - * 0 "-" "Apache/2.2.15 (Unix) mod_ssl/2.2.15 OpenSSL/0.9.8e-fips-rhel5 mod_bwlimited/1.4 (conexión ficticia interna)" 127.0. 0.1 - - [01/Jun/2010:14:12:07 +0100] "OPCIONES * HTTP/1.0" 200 - * 0 "-" "Apache/2.2.15 (Unix) mod_ssl/2.2.15 OpenSSL/0.9. 8e-fips-rhel5 mod_bwlimited/1.4 (conexión ficticia interna)" 127.0.0.1 - - [01/Jun/2010:14:12:08 +0100] "OPCIONES * HTTP/1.0" 200 - * 0 "-" "Apache /2.2.15 (Unix) mod_ssl/2.2.15 OpenSSL/0.9.8e-fips-rhel5 mod_bwlimited/1.4 (conexión ficticia interna)" 127.0.0.1 - - [01/Jun/2010:14:12:09 +0100] "OPCIONES * HTTP/1.0" 200 - * 0 "-" "Apache/2.2.15 (Unix) mod_ssl/2.2.15 OpenSSL/0.9.8e-fips-rhel5 mod_bwlimited/1.4 (conexión ficticia interna)"
¿Ha cometido un error al configurar LogFormat o es otra cosa?
Además, cada solicitud parece provenir del host local. ¿Cómo es que no me da la dirección IP del usuario remoto?
Gracias, Iarfhlaith
Respuesta1
Es porque realmenteesviniendo del host local: es Apache hablando solo.
Respuesta2
¿Quién podría solicitar OPCIONES? Los usuarios normales de la web solicitan SÓLO OBTENER y PUBLICAR. Los verificadores de conexión/programas de verificación de tiempo de inactividad/bots solicitan SÓLO CABEZA.