Log del server: cosa sono, come e dove si possono visualizzare

Nel lavoro di un amministratore di sistema, è spesso necessario vedere i log del server (Server Logs), con quali compiti il server stava lavorando in un particolare momento, quali azioni gli utenti hanno eseguito. Le ragioni di questo bisogno possono essere diverse:

• Crollo del server;
• Rivelare l’attività involontaria;
• Analisi dei processi di lavoro.

Tutte le informazioni necessarie possono essere ottenute nei Server Logs, cioè file che contengono voci su diversi processi, azioni degli utenti, ecc. Ma per farlo è necessario capire dove sono immagazzinati questi dati e, cosa più importante, come lavorare con essi.

Cosa sono i log del server?

In realtà la parola “server logs” è una comune traslitterazione della combinazione di parole “server log”, che si traduce come “registro del server”.

Ci sono i seguenti tipi di registri:

• Errori – registrazioni che catturano vari fallimenti nel funzionamento del server, o quando si accede a funzioni o compiti specifici. Potete usarli per risolvere rapidamente vari bug e guasti;
• Accesso – un record che cattura la data e l’ora esatta della connessione di un particolare utente, come è arrivato al sito, ecc. Permette di svolgere un lavoro analitico e trovare vulnerabilità nei casi in cui la risorsa è stata violata;
• Altro – Registrazioni del funzionamento di vari componenti del server, come la posta.

Naturalmente, se non si osservano problemi o momenti sospetti relativi al lavoro del server, non c’è bisogno di rivedere frequentemente i log. Tuttavia, si raccomanda di controllarli selettivamente almeno una volta all’anno.

D’altra parte, se è già successo qualche emergenza, per esempio, il sito ha improvvisamente iniziato a produrre un gran numero di errori, ha subito un attacco di spam o ha rapidamente aumentato il carico sul server, allora studiando i log, si capirà rapidamente qual è il problema e lo si eliminerà.

Tuttavia, per la maggior parte degli utenti comuni, le voci nei file di log sono solo uno strano insieme di caratteri. Pertanto, dobbiamo capire come leggerli correttamente.

Come leggere correttamente i log del server?

In questo esempio, esamineremo i due tipi di voci del log di accesso e di errore, poiché sono le voci più comunemente consultate quando si verificano problemi.

Quindi, la voce del log di accesso, dal file access.log:

mysite.biz 25.34.94.132 – – – – [21/Nov/2017:03:21:08 +0200] “GET /blog/2/ HTTP/1.0” 200 18432 “-” “Unknow Bot (http://www.unknow.com/bot; [email protected])”

Cosa rappresenta:

• mysite.biz – Dominio del sito che ti interessa;
• 34.94.132 – L’indirizzo IP che l’utente ha usato per accedere al sito;
• 21/Nov/2017:03:21:08 +0200] – la data, l’ora esatta e il fuso orario dell’utente;
• GET – la richiesta che viene inviata per recuperare i dati. Nel caso in cui l’utente trasmette dati, la richiesta sarà “POST”;
• /blog/2/ – l’indirizzo relativo della pagina che è stata richiesta;
• HTTP/1.0 – il protocollo utilizzato;
• 200 – codice di risposta della richiesta;
• 18432 – quantità di dati trasferiti sotto la richiesta, in byte;
• Unknow Bot (http://www.unknow.com/bot; [email protected]) – dati sul robot, o una persona reale che ha visitato il sito. Se si tratta di una persona, verranno visualizzati il sistema operativo, il tipo di dispositivo, ecc. Nell’esempio specifico, un robot parser appartenente alla risorsa unknow.com ha visitato il sito.

Così, abbiamo appreso che dall’indirizzo IP 25.34.94.132, il ventuno novembre 2017, a tre ore, ventuno minuti e otto secondi, un bot appartenente a un’altra risorsa web ha visitato il nostro sito. Ha inviato una richiesta di dati e ha ricevuto 18432 byte di informazioni.

Ora è possibile bloccare l’accesso ai bot da questo sito, o da tutti coloro che usano questo IP, naturalmente, se necessario.

I log degli errori possono essere trovati nel file con un nome prominente – error.log. Hanno il seguente aspetto:

[Sat 1 Oct 18:23:28.719615 2019] [:error] [pid 10706] [client 44.248.44.22:35877]

Avviso PHP: variabile indefinita: moduleclass_sfx in

/var/data/www/mysite.biz/modules/contacts/default.php alla linea 13

Cosa c’è scritto qui?

• La data, l’ora e il tipo di errore, così come l’indirizzo IP utilizzato dal visitatore;
• Il tipo di evento, in questo caso, “PHP Notice” (notifica), così come un chiarimento che in questo caso, abbiamo a che fare con una variabile sconosciuta;
• La posizione del file di notifica, così come la linea in cui si trova.

Per dirla semplicemente, in questo caso, abbiamo un messaggio che c’è stato un errore relativo al modulo di contatto il primo ottobre, alle 18:23, 2019.

Registri di Windows Server

I log dei server Windows hanno un output intrinsecamente più conveniente e strutturato, sotto forma di una tabella semplice e diretta.

Ci sono diversi livelli di eventi:

• Dettagli;
• Dettagli;
• Attenzione;
• Errore;
• Critico.

C’è anche la possibilità di filtrare e ordinare rapidamente i record, a seconda dei dati che si vogliono recuperare.

Registri di SQL Server

Oggi, i database SQL sono il modo più comune di lavorare con grandi quantità di informazioni. Prima di tutto, il server sql logs, vale la pena di esaminare se non siete sicuri che alcuni processi sono stati completati con successo. Questi processi possono essere:

• Backup;
• Recupero dati;
• Cambiamenti di massa;
• Vari script e programmi di elaborazione dati.

Per visualizzare i log, puoi usare SQL Server Management Studio o un altro editor di testo che ti è comodo. Le registrazioni sono organizzate in registri dei seguenti tipi:

• Raccolta di dati;
• Database Mail;
• SQL Server;
• Eventi di Windows;
• Registri di lavoro;
• Raccolta di audit;
• SQL Server, agente.

Per accedere ai registri, devi avere i privilegi di “securityadmin”.

Come posso abilitare o disabilitare la registrazione del server?

Per eseguire questa operazione, devi entrare nel pannello amministrativo del tuo hoster. Di norma, nel menu principale c’è una sezione “Log”, o “Logs”, in cui è possibile abilitare o disabilitare la registrazione dei dati su accessi concessi, errori, ecc.

Dove si trovano i log del server?

La posizione dei log dipende principalmente dal sistema operativo che state usando.

I log del server con CentOS, o Fedora, sono memorizzati nella directory “/var/log/”.

I nomi dei file sono:

• Registro degli errori – “error.log”;
• Il log di nginx – “nginx”;
• Il registro di accesso – “log”;
• Il registro principale – “syslog”;
• Registro di avvio del sistema – “dmesg”.

I log degli errori relativi a MySQL si trovano nella directory “/var/lib/mysql/”, nel file “$hostname.err”.

Per i sistemi operativi Debian e Ubuntu, i log del server si trovano nella cartella “/var/log/”, nei file:

• Nginx – log di nginx;
• /mysql/error.log – registro degli errori per i database MySQL;
• Syslog – registro principale;
• Dmesg – carico di sistema, driver;
• Apache2 – registro del server web Apache.

Come potete vedere, tutti i sistemi operativi basati su Linux hanno fondamentalmente gli stessi log e directory del server.

Questo non è il caso dei log dei server Windows. Se si desidera visualizzare i log, è necessario effettuare il login e premere i tasti “Win” e “R” e si aprirà il visualizzatore di eventi, dove è possibile prendere i log di interesse.

Se volete visualizzare i log di PowerShell, dovete aprire il programma e inserire il comando: “Get-EventLog -Logname ‘System'”.

Tutti i dati saranno visualizzati in una comoda tabella.

Un esempio di lavoro con i log del server

Immaginate di scoprire improvvisamente un aumento significativo del carico sul vostro server a causa di influenze esterne. I servizi di analisi iniziano a registrare un record di presenze, e si potrebbe essere felici, ma si vede che questi “utenti” non eseguono le azioni che ci si aspetta da loro, non importa quale sia – lo studio dei contenuti, o gli acquisti sul sito.

Si può spendere un sacco di tempo per scoprire il motivo, o si può semplicemente guardare i log di accesso e controllare da quale IP, e chi ha avuto accesso al tuo sito, negli intervalli di tempo selezionati. È probabile che troverete un gran numero di hit da più indirizzi IP che sono stati fatti automaticamente, cioè il vostro sito era sotto attacco DDoS.

In questo caso, è possibile bloccare l’accesso al sito dall’IP selezionato, e successivamente espandere questa lista, se necessario.

Uscita

Ad oggi, i log del server sono uno strumento molto utile che permette di monitorare il sito, identificando bug ed errori, utenti malintenzionati, per contrastare gli attacchi DDoS.

Per lavorare correttamente con i log del server è necessario conoscere la loro posizione, essere in grado di studiare i file necessari, così come capire i diversi tipi di record. Nella maggior parte dei pannelli di controllo, all’utente viene data immediatamente la possibilità di attivare e disattivare la registrazione. Inoltre, è possibile scaricare o visualizzare i registri.

Inoltre, ci sono diverse applicazioni software disponibili oggi che permettono di interagire con le informazioni del registro attraverso un’interfaccia grafica facile da usare, decifrandole ad alta velocità e visualizzandole in modo semplice.

I sistemi basati su Linux tendono ad avere file di log più o meno nella stessa posizione, il che li rende molto facili da usare.

Windows Server, ha la propria interfaccia grafica per la lettura dei log, che è molto comoda, e permette di ottenere rapidamente le informazioni necessarie.