İnternet kullanımının oldukça yaygınlaştığı son yıllarda log tutmanın da önem taşıdığı hepimiz tarafından bilinmektedir. Her ne kadar güvenlik önlemi alınsa da işlenilen siber suçların önüne geçmek zordur. İşlenen bir suç olduğunda ise sistemde ki açığın kapatılmasının yanı sıra suçlunun da bulmak gerekir.

Günümüz servis sağlayıcıları, bir ip adresi üzerinden birden fazla kullanıcıya farklı portlar ile internet erişimi sağlamaktadırlar. (Özellikle 2G/3G erişimleri) Hal böyle olunca erişim logu olarak sadece IP adres bilgisini tutmak yetmez. IP bilgisi yanında erişenin port numarasını da tutmanız gerekmektedir. Apache web sunucusu için loglama formatını özelleştirerek erişim sağlayan ip adresinin yanı sıra port bilgisinide loglayabilirsiniz.

1-Apache “log_config_module” 

-Sisteminizde log_config_module olup olmadığını kontrol ediniz.

[[email protected] ~]# apachectl -M | grep log_config_module
 log_config_module (shared)
 Syntax OK

Yukarıdaki gibi bir çıktı aldıysanız sisteminizde log_config_module yüklü demektir. Bu modül hakkında daha fazla bilgiye bu adresten ulaşabilirsiniz.

2-Apache Loglamasını Özelleştirme

-Apache web sunucusu default olarak bize aşağıdaki formatta log üretmektedir.

[[email protected] ~]# tailf /var/log/httpd/access_log 
192.168.233.1 - - [28/Oct/2014:09:24:34 +0200] "GET / HTTP/1.1" 403 5039 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/38.0.2125.104 Safari/537.36"
...

Loglarda görüldüğü üzere erişim yapan IP adresi görünüyor fakat port bilgisi bulunmuyor.

-Log tutma işlemini özelleştirerek port bilgisini tutmak için /etc/httpd/conf/httpd.conf dosyası içerisinden LogFormat bölümüne geliniz.

Apache Port Loglama- (1)

-Yukarıda seçili olan 2 satırı aşağıdaki satırlar ile değiştiriniz.

LogFormat "[%h]:%{remote}p %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
LogFormat "[%h]:%{remote}p %l %u %t \"%r\" %>s %b" common

-Dosya içeriğiniz aşağıdaki gibi olmalıdır.

Apache Port Loglama (2)

-Değişikliğin aktif olması için apache servisini restart ediniz.

[[email protected] ~]# /etc/init.d/httpd restart
 Stopping httpd:                                                           [ OK ]
 Starting httpd:                                                           [ OK ]

-Apache loglarını tekrardan kontrol ediniz.

[[email protected] ~]# tailf /var/log/httpd/access_log
[192.168.233.1]:51575 - - [28/Oct/2014:09:48:28 +0200] "GET /icons/poweredby.png HTTP/1.1" 304 - "http://192.168.233.136/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/38.0.2125.104 Safari/537.36"
[192.168.233.136]:45576 - - [28/Oct/2014:09:50:42 +0200] "GET /icons/poweredby.png HTTP/1.1" 200 3956 "http://192.168.233.136/" "Mozilla/5.0 (X11; Linux x86_64; rv:17.0) Gecko/20131029 Firefox/17.0"

Loglardan görebileceğiniz üzere artık erişim sağlayan IP adresi yanında port bilgiside loglanmaktadır.

NOT: Burada görünen her port illaki servis sağlayıcı tarafından verilmemiş olabilir. Normalde işletim sistemleri internet çıkışlarını sürekli farklı portlar üzerinden sağlamaktadır. Fakat son zamanlarda IPv4 için kullanılabilecek IP adresleri azaldığından servis sağlayıcıları kullanıcılarına (özellikle mobil iletişimlerde) bir IP adresi üzerinden farklı portlar ile internet erişimi sağlamaktadır.

Apache loglarınızı daha fazla özelleştirmek için bu adresten faydalanabilirsiniz.

[Kaynak]
http://httpd.apache.org/

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Time limit is exhausted. Please reload CAPTCHA.

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Post Navigation