Логи сервера (Server Logs) – що це, як і де можна подивитися ці файли

В роботі системного адміністратора, нерідко виникає необхідність подивитися логи сервера (Server Logs), з якими завданнями працював сервер в конкретний час, які дії здійснювали користувачі. Причини виникнення цієї необхідності можуть бути різні:

• Збій в роботі сервера;
• Виявлення поганих дій;
• Аналіз робочих процесів.

Всю необхідну інформацію можна отримати в логах сервера (Server Logs), тобто файлах, в які вносяться записи про різні процеси, діях користувачів, і т.п. Але, для цього необхідно розуміти, де зберігаються ці дані, а головне, як з ними працювати.

Що таке логи сервера?

Власне кажучи, саме слово «логи сервера», є банальною транслітерацією, від словосполучення «server log», яке перекладається як «журнал сервера».

Існують наступні типи логів:

• Помилки – записи, що фіксують різні збої в роботі сервера, або при зверненні до конкретних функцій або завдань. З їх допомогою можна швидко ліквідувати різні баги і збої;
• Доступ – записи, які фіксують точні дату і час підключення конкретного користувача, яким чином він потрапив на сайт, і т.д. Дозволяють проводити аналітичну роботу, а також знаходити уразливі місця, в тих випадках, коли ресурс намагалися зламати;
• Інше – записи з даними про роботу різних компонентів сервера, наприклад, пошти.

Зрозуміло, якщо ви не спостерігаєте ніяких проблем, або підозрілих моментів, пов’язаних з роботою сервера, то немає ніякої необхідності в частому перегляді логів. Проте, фахівці рекомендують вибірково вивчати їх, хоча б раз на рік.

З іншого боку, якщо вже сталося якась НП, наприклад, сайт різко почав видавати велику кількість помилок, піддався спам-атаці, або стрімко зросло навантаження на сервер, то вивчення логів, дозволить швидко зрозуміти в чому проблема і усунути її.

Проте, для більшості пересічних користувачів записи в log-файлах, являють собою просто дивний набір символів. А значить, потрібно зрозуміти, як правильно їх читати.

Як правильно читати логи сервера?

В даному прикладі, ми розберемо два типи записів, що стосуються логів доступу і помилок, оскільки саме до них найчастіше звертаються, при виникненні якихось проблем.

Отже, запис логу доступу, з файлу access.log:

mysite.biz 25.34.94.132 – – [21/Nov/2017:03:21:08 +0200] “GET /blog/2/ HTTP/1.0” 200 18432 “-” “Unknow Bot (http://www.unknow.com/bot; [email protected])”

Що вона означає:

• mysite.biz – домен сайту, яким ви цікавитеся;
• 34.94.132 – IP-адреса, який використовував користувач при заході на сайт;
• [21/Nov/2017:03:21:08 +0200] – дата, точний час і часовий пояс користувача;
• GET – запит, який відправляється для отримання даних. У тому випадку, якщо користувач передає дані, запит буде «POST»;
• /blog/2/ – відносна адреса сторінки, до якої був звернений запит;
• HTTP/1.0 – використовуваний протокол;
• 200 – код відповіді на запит;
• 18432 – кількість даних, переданих за запитом, в байтах;
• Unknow Bot (http://www.unknow.com/bot; [email protected]) – дані про робота, або реальну людину, яка зайшла на сайт. У тому випадку, якщо це людина, буде відображена ОС, тип пристрою і т.д. У конкретному прикладі на сайт зайшов робот-парсер, що належить ресурсу unknow.com.

Таким чином, ми дізналися, що з IP-адреси 25.34.94.132, двадцять першого листопада 2017-го року, о третій годині, двадцять одну хвилину і вісім секунд, на наш сайт заходив бот, що належить іншому веб-ресурсу. Він відправив запит на отримання даних, і отримав 18432 байт інформації.

Тепер можна заблокувати доступ для ботів від цього сайту, або від всіх, хто користується цим IP, зрозуміло, якщо в цьому є необхідність.

Список помилок, можна подивитися у файлі з промовистою назвою – error.log. Вони виглядають наступним чином:

[Sat Oct 1 18:23:28.719615 2019] [:error] [pid 10706] [client 44.248.44.22:35877]

PHP Notice: Undefined variable: moduleclass_sfx in

/var/data/www/mysite.biz/modules/contacts/default.php on line 13

Що тут написано?

1. Дата, час і тип помилки, а також IP-адреса, яку використовував відвідувач;
2. Тип події, в даному випадку – «PHP Notice» (повідомлення), а також уточнення, що в даному випадку, ми маємо справу з невідомої змінної;
3. Місцезнаходження файлу з повідомленням, а також рядок, на якій воно знаходиться.

Якщо говорити просто, то в даному випадку ми маємо повідомлення про те, що першого жовтня, о 18:23, 2019 го року, сталася помилка, пов’язана з модулем контактів.

Зрозуміло, навіть після розшифровки, отримані дані не так просто проаналізувати. Саме тому, для зручної обробки даних з логів сервера, використовується різне програмне забезпечення. До таких програм відносяться: Awstats, Webtrends, WebAlyzer, і багато інших.

Сьогодні існує безліч платних і безкоштовних варіантів програм, для обробки і аналізу лог-файлів.

Список серверів на Windows

У логів серверів на Windows, спочатку більш зручний і структурований висновок інформації, у вигляді простої і зрозумілої таблиці.

Існує кілька рівнів подій:

• Подробиці;
• Відомості;
• Попередження;
• Помилка;
• Критичний.

Також є можливість швидкої фільтрації і сортування записів, в залежності від того, які дані ви хочете отримати.

Список SQL сервера

На сьогоднішній день, бази даних SQL, є найбільш поширеним способом роботи з великими обсягами інформації. В першу чергу, логи sql сервера, варто вивчити, якщо ви не впевнені в тому, що якісь процеси були успішно завершені. Цими процесами можуть бути:

• Резервне копіювання;
• Відновлення даних;
• Масові зміни;
• Різні скрипти, і програми для обробки даних.

Для того, щоб переглянути записи в логах, можна використовувати SQL Server Management Studio, або інший, зручний вам редактор текстів. Записи розподілені по журналам наступних типів:

• Збір даних;
• Database Mail;
• SQL Сервер;
• Події Windows;
• Журнал завдань;
• Колекція аудиту;
• SQL Сервер, агент.

Для того, щоб отримати доступ до журналів, необхідно мати права «securityadmin».

Як включити або виключити запис логів сервера?

Для того, щоб здійснити цю операцію, потрібно зайти в адміністративну панель вашого хостера. Як правило, в основному меню є розділ «Журнал», або «Список», в якому можна включити або виключити запис даних про надане доступі, помилки, і т.п.

Де знаходяться логи сервера?

Розташування журналів, залежить в першу чергу від операційної системи.

Список серверів з CentOS, або Fedora, зберігаються в Директорії «/ var / log /».

Назви файлів:

• Журнал помилок – «error.log»;
• Журнал nginx – «nginx»;
• Журнал доступів – «log»;
• Основний журнал – «syslog»;
• Журнал завантаження системи – «dmesg».

Список помилок, пов’язаних з роботою MySQL, знаходяться в директорії «/ var / lib / mysql /», в файлі «$ hostname.err».

Для операційних систем Debian і Ubuntu, логи сервера розташовуються в папці «/ var / log /», в файлах:

• Nginx – журнал nginx;
• /mysql/error.log – журнал помилок для баз даних MySQL;
• Syslog – основний журнал;
• Dmesg – завантаження системи, драйвера;
• Apache2 – журнал веб-сервера Apache.

Як бачите, у всіх ОС, заснованих на Linux, логи сервера, як правило мають однакові назви, і директорії.

З балками для Windows server, справа йде трохи інакше. Якщо потрібно переглянути журнали, необхідно увійти в систему, натиснути клавіші «Win» і «R», після чого відкриється вікно перегляду подій, де є можливість підібрати цікаві для нас логи.

Якщо ви хочете подивитися логи PowerShell, то необхідно відкрити програму і ввести команду: «Get-EventLog -Logname ‘System’».

Всі дані будуть виведені у вигляді зручної таблиці.

Приклад роботи з логами сервера

Уявіть собі, що ви раптово виявили істотне збільшення навантаження на ваш сервер, пов’язане із зовнішніми впливами. Сервіси аналітики починають реєструвати рекорди відвідуваності, і можна було б радіти, але видно, що ці «користувачі» не здійснюють дій, яких від них чекають, неважливо що це – вивчення контенту, або покупки на сайті.

Можна витратити багато часу на з’ясування причини, а можна просто подивитися логи доступу і перевірити, з яких IP, і хто заходив на ваш сайт, в обрані проміжок часу. Цілком ймовірно, що ви виявите велику кількість переходів з декількох IP-адрес, які робилися автоматично, тобто ваш сайт потрапив під DDoS-атаку.

В цьому випадку, можна заблокувати доступ до сайту з обраних IP, і в подальшому розширювати цей список, при необхідності.

Висновок

На сьогоднішній день, log-файли сервера, є вкрай зручним інструментом, який дозволяє відстежувати роботу сайту, виявляти баги і помилки, зловмисних користувачів, протидіяти DDoS-атакам.

Для того, щоб правильно працювати з логами сервера, необхідно знати їх розташування, мати можливість вивчити потрібні файли, а також розуміти різні типи записів. У більшості панелей управління, користувачеві відразу надається можливість включати і вимикати запис логів. До того ж є можливість завантажувати або переглядати журнали.

Крім того, сьогодні можна знайти ряд програмного забезпечення, і вони дозволяють встановлювати зв’язок із інформацією з журналів через зручний графічний інтерфейс, з великою швидкістю розшифровувати її і виводити в простому вигляді.

У систем, заснованих на Linux, як правило приблизно однакове розташування файлів з балками, що істотно спрощує роботу з ними.

У Windows Server, є свій власний графічний інтерфейс для читання логів, який вельми зручний, і дозволяє швидко отримати необхідну інформацію.