Welchen Sinn hat "CustomLog /var/log/apache2/confixx.domain.log" als Apache-Direktive?

[ngrafe]

Hallo zusammen,

bitte versteht meinen Titel nicht falsch, ich weiß, was die Apache-Direktive "CustomLog" so im groben bewirkt, wobei ich jetzt nicht die 10.000 Parameter entschlüsselt habe.
Ich habe bei mir einen VHost für das Confixx-Login (V. 3.x). Darin ist die Zeile
CustomLog /var/log/apache2/confixx.domain.log "%h %l %u %t "%r" %s %b "%{Referer}i" "%{User-agent}i""

enthalten.

Das LogFile dazu ist eine ewig große Textdatei und soweit ich sehen konnte, werden da zu Hauf belanglose Zugriffe protokolliert.
Klar, zur Fehleranalyse mag das ja gut sein, dafür ist vermutlich auch die Direktive "ErrorLog" ganz hilfreich. Aber warum um alles in der Welt muss ich eine solche Log-Datei schreiben, wenn ich doch nicht reinschaue?
Hat das einen Grund oder kann ich die erstmal rausschmeißen/auskommentieren?

VIele Grüße
Nils

[wgot]

Hallo,

Das LogFile dazu ist eine ewig große Textdatei

die wird nicht ewig groß, Logrotate bekommt sie schon klein. :lol:
Oder ist diese Datei im Logrotate nicht mit drin, dann pack sie rein (/etc/logrotate.d/apache2). Dort kannst Du auch einstellen wie groß sie maximal werden darf (maxsize) und wie viele alte (gepackte) Versionen behalten werden (rotate).

zur Fehleranalyse mag das ja gut sein

Blöderweise weiß man meist nicht vorher wenn ein Problem auftritt und muß deshalb vorbeugend loggen. Wenn ein Hacker eingedrungen ist (und die Logs nicht gelöscht hat) wirst Du froh sein über die Aufzeichnungen.

Hat das einen Grund

Ja: Du solltest regelmäßig reinsehen.

Gruß, Wolfgang

[Roger Wilco]

Mal abgesehen von dem sowieso wichtigen Punkt des Debuggings (wie wgot schon ausgeführt hat) kannst du aus dem Access Log z. B. auch schöne, bunte Statistiken über die Zugriffe erstellen (-> AWStats, Webalizer, ModLogan...)

[ngrafe]

Das hört sich alles sehr einleuchtend an.
Gerade das mit Logrotate werde ich noch mal etwas genauer unter die Lupe nehmen. Ich hatte bloß Angst, dass das ganze unnötige Resourcen frisst, oder sind die unbedeutend?

Code: Select all

87.122.57.xxx - - [30/Jul/2006:17:43:50 +0200] "GET /swsoftpoweredby.png HTTP/1.1" 304 - "http://sub.domain.tld/user/index.php" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Tablet PC 1.7; .NET CLR 1.0.3705)"
87.122.57.xxx - - [30/Jul/2006:17:43:50 +0200] "GET /user/index.php HTTP/1.1" 200 3345 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Tablet PC 1.7; .NET CLR 1.0.3705)"
87.122.57.xxx - - [30/Jul/2006:17:43:50 +0200] "GET /skins/skin_1/style.css HTTP/1.1" 304 - "http://sub.domain.tld/user/index.php" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Tablet PC 1.7; .NET CLR 1.0.3705)"
87.122.57.xxx - - [30/Jul/2006:17:43:50 +0200] "GET /js/paged_form.js HTTP/1.1" 304 - "http://sub.domain.tld/user/index.php" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Tablet PC 1.7; .NET CLR 1.0.3705)"
87.122.57.xxx - - [30/Jul/2006:17:43:50 +0200] "GET /loginscreen.gif HTTP/1.1" 304 - "http://sub.domain.tld/user/index.php" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Tablet PC 1.7; .NET CLR 1.0.3705)"
87.122.57.xxx - - [30/Jul/2006:17:43:50 +0200] "GET /skins/skin_1/pics/buttons/bt_img_middle.jpg HTTP/1.1" 304 - "http://sub.domain.tld/user/index.php" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Tablet PC 1.7; .NET CLR 1.0.3705)"
87.122.57.xxx - - [30/Jul/2006:17:43:50 +0200] "GET /skins/skin_1/pics/buttons/bt_img_left.gif HTTP/1.1" 304 - "http://sub.domain.tld/user/index.php" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Tablet PC 1.7; .NET CLR 1.0.3705)"
87.122.57.xxx - - [30/Jul/2006:17:43:50 +0200] "GET /skins/skin_1/images/bckg.gif HTTP/1.1" 304 - "http://sub.domain.tld/user/index.php" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Tablet PC 1.7; .NET CLR 1.0.3705)"
87.122.57.xxx - - [30/Jul/2006:17:43:50 +0200] "GET /swsoftpoweredby.png HTTP/1.1" 304 - "http://sub.domain.tld/user/index.php" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Tablet PC 1.7; .NET CLR 1.0.3705)"
87.122.57.xxx - - [30/Jul/2006:17:43:50 +0200] "GET /skins/skin_1/pics/buttons/bt_changepass.gif HTTP/1.1" 304 - "http://sub.domain.tld/user/index.php" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Tablet PC 1.7; .NET CLR 1.0.3705)"

Was ich mich aber frage, ob ich außer einer Statistik damit was anfangen kann... Finde ich im Moment noch ein wenig umfangreich, dieses Protokoll.

Meint ihr, ich kann das ohne Performance-Verlust weiterlaufen lassen? Der Server hat so um die 2,5 GHz, 512 MB Ram und 80 GB HDD.

Viele Grüße und danke für die Beiträge
Nils

[daemotron]

Logs sind performance-technisch betrachtet ein ziemlich geringes Problem. Wie schon gesagt nur logrotate ab und zu drüberlaufen lassen, ansonsten können die Files tatsächlich sehr schnell sehr groß werden (v.a. bei einer Site mit vielen Hits kann das access_log extrem schnell wachsen...) Und ab und an mal aufräumen, also alte Logs wegarchivieren (ich heb meine immer noch so rund 1-2 Jahre auf, bevor ich sie entgültig entsorge). So dürfte es schwierig werden, Deine 80GB-Platte mit Logs vollzumüllen. Eine Log-Datei von 50MB z. B. schrumpft durch packen beim logrotate auf ca. 2,5MB, also in etwa Faktor 20.

Klar, 99,9% der Einträge in der access_log wirst Du nur für die Statistiken benötigen. Aber wie willst Du das 0.1% vorher erraten, das Dich auf einen Fehler - oder schlimmer eine Sicherheitslücke hinweist?

[ngrafe]

Ok, dankeschön, ich sehe schon, logrotate ist eine ziemlich wichtige Sache.
Dankeschön für die Ratschläge!

Gruß
Nils