Jan 28, 2005
webalizer その2
検索文字列が文字化けするので、その対応をした。
あっちこっちに perl で書かれたスクリプトを見かけたが、まぁ php の勉強がてらということで php で書いてみた。
このスクリプトは引数にログファイル名を渡すと、1行ずつ読み込んで、rawurldecode で URLエンコードされた検索文字列をデコードして、さらに mb_convert_encoding で EUC-JP に文字コードを変換して標準出力に出力していく。
それから、どうやら webalizer は進行中のログに対して行わない方がいいらしいので、1日一回ログをローテートして、その最新版に対して webalizer を実行することにした。1日一回のみ解析結果が更新される。まぁグラフマニアとしてはちょっと悲しいけど ^^;
流れとしては以下の通り。
まず apache を止める。
現在のログを access_log.050128 と日付付きにする(実際には時間も付けた)。
apache を再開。
webalizer を実行して dns_cache を更新
もう1度 webalizer を実行してレポートを更新
最後にログを圧縮。
ローテート用のスクリプトはシェルスクリプトにした ^^;
こちらも恥を忍んで晒しておく。
-Q オプションはまぁいろいろお知らせメールが来るとうっとしいので、付けてみた。最初は付けずに様子みた方がいいんだけどね。
うちのサーバーは夜中 1:30 に毎日スクリプトが起動する。なのでそれのついでにこの logrotate を起動することにした。ということで cron で個別に起動はしない。同様に cron で起動してた webalizer も削除。
dns_cache ファイルは /etc/webalizer.conf で以下の様に設定した。
次の行からの Request_URI は CodeRed とかのウィルスのアクセス。これらの場合は worm と nolog という2つのフラグをセット。
最後の方で、nolog がセットされてない場合だけ access_log に書き出し、worm がセットされていれば worm_log に書き出す。それ以外はログを残さない。
ということで、明日からの解析結果が楽しみだ。
あっちこっちに perl で書かれたスクリプトを見かけたが、まぁ php の勉強がてらということで php で書いてみた。
#!/usr/local/bin/php
<?php
$fName = $argv[1];
$fp = fopen($fName,"r");
if (!$fp)
{
exit;
}
while (!feof($fp))
{
$buf = fgets($fp,4096);
$str = rawurldecode($buf);
$str2 = mb_convert_encoding($str,"EUC-JP","UTF-8");
print $str2;
}
fclose($fp);
?>
とまぁ、いいかげん極まりない(エラーチェックが少なすぎ)コードなんだが、恥を忍んで晒してみた ^^; これを logconv という名前で /usr/local/bin に保存。このスクリプトは引数にログファイル名を渡すと、1行ずつ読み込んで、rawurldecode で URLエンコードされた検索文字列をデコードして、さらに mb_convert_encoding で EUC-JP に文字コードを変換して標準出力に出力していく。
それから、どうやら webalizer は進行中のログに対して行わない方がいいらしいので、1日一回ログをローテートして、その最新版に対して webalizer を実行することにした。1日一回のみ解析結果が更新される。まぁグラフマニアとしてはちょっと悲しいけど ^^;
流れとしては以下の通り。
まず apache を止める。
現在のログを access_log.050128 と日付付きにする(実際には時間も付けた)。
apache を再開。
webalizer を実行して dns_cache を更新
もう1度 webalizer を実行してレポートを更新
最後にログを圧縮。
ローテート用のスクリプトはシェルスクリプトにした ^^;
こちらも恥を忍んで晒しておく。
#!/bin/sh DATE=`date +%y%m%d%H%M%S` LOGDIR="/var/log/apache" LOGFILE=access_log CURRENTLOG=$LOGDIR/$LOGFILE LATESTLOG=$LOGDIR/$LOGFILE.$DATE # stop apache /usr/local/apache/bin/apachectl stop > /dev/null # log rotate mv $CURRENTLOG $LATESTLOG # start apache /usr/local/apache/bin/apachectl start > /dev/null # webalizer to make dns_cache cat $LATESTLOG | /usr/local/bin/webalizer -Q -N 10 - # webalizer to make report /usr/local/bin/logconv $LATESTLOG | /usr/local/bin/webalizer -Q - # compress gzip $LATESTLOGちなみに webalizer は標準入力からログを放り込むと dns_cache だけ作成できる。ホスト名の逆引き用にまずはこのキャッシュファイルを更新。次に logconv で URLエンコードされた検索語句を変換してレポート作成。これで検索文字列のところを文字化けさせずにレポートを作成することができる。
-Q オプションはまぁいろいろお知らせメールが来るとうっとしいので、付けてみた。最初は付けずに様子みた方がいいんだけどね。
うちのサーバーは夜中 1:30 に毎日スクリプトが起動する。なのでそれのついでにこの logrotate を起動することにした。ということで cron で個別に起動はしない。同様に cron で起動してた webalizer も削除。
dns_cache ファイルは /etc/webalizer.conf で以下の様に設定した。
DNSCache /var/log/dns_cache.dbそれから apache のログも自分がアクセスした分はログに残さないように下記の様に変更した。変更ファイルは http.conf。
SetEnvIf Remote_Addr 172.16.xx.xx nolog SetEnvIf Request_URI "^/_mem_bin/" worm nolog SetEnvIf Request_URI "^/_vti_bin/" worm nolog SetEnvIf Request_URI "^/c/" worm nolog SetEnvIf Request_URI "^/d/" worm nolog SetEnvIf Request_URI "^/msadc/" worm nolog SetEnvIf Request_URI "^/MSADC/" worm nolog SetEnvIf Request_URI "^/script/" worm nolog SetEnvIf Request_URI "^/default.ida/" worm nolog SetEnvIf Request_URI "root\.exe"" worm nolog SetEnvIf Request_URI "cmd\.exe"" worm nolog SetEnvIf Request_URI "NULL\.IDA"" worm nolog ErrorLog logs/error_log CustomLog logs/access_log combined env=!nolog CustomLog logs/worm_log common env=worm最初の行で、指定したアドレス(172.16.xx.xx)からアクセスがあったら nolog とフラグ?をセット。
次の行からの Request_URI は CodeRed とかのウィルスのアクセス。これらの場合は worm と nolog という2つのフラグをセット。
最後の方で、nolog がセットされてない場合だけ access_log に書き出し、worm がセットされていれば worm_log に書き出す。それ以外はログを残さない。
ということで、明日からの解析結果が楽しみだ。
Related Info.
Local for: webalizer その2
Comments
No comments yet
Add Comments
JavaScript is required when you submit comment
OpenID を使ってログインすることができます。
Trackbacks
トラックバック
このエントリにトラックバックはありません
このトラックバックURLを使ってこの記事にトラックバックを送ることができます。
もしあなたのブログがトラックバック送信に対応していない場合にはこちらのフォームからトラックバックを送信することができます。.
poker, backgammon, tramadol, casino, insurance, loans