Непутевые записки evrus Логи в NGINX
Логи в NGINX
Заглянул я тут как-то к себе на сервер и ужаснулся. Размер файла host.access.log превышал 15 gb. И это только логи :shock:
Для отключения логирования в nginx , необходимо в конфиге сервера указать:
Код: выделить все
 access_log off;

Собственно зачем нужен этот лог?
Ну однажды я увидел там такое:
Код: выделить все
46.73.213.99 - - [30/Jan/2011:12:02:07 +0300] "GET /netcat/admin/ HTTP/1.0" 404 25487 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506)"
46.73.213.99 - - [30/Jan/2011:12:02:09 +0300] "GET /bitrix/admin/ HTTP/1.0" 404 25487 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506)"
46.73.213.99 - - [30/Jan/2011:12:02:10 +0300] "GET /admin.php HTTP/1.0" 404 25479 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506)"
46.73.213.99 - - [30/Jan/2011:12:02:11 +0300] "GET /login.php HTTP/1.0" 404 25479 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506)"
46.73.213.99 - - [30/Jan/2011:12:02:12 +0300] "GET /cms/kernel/admin.php HTTP/1.0" 404 25502 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506)"
46.73.213.99 - - [30/Jan/2011:12:02:13 +0300] "GET /cms/admin/index.php HTTP/1.0" 404 25501 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506)"
46.73.213.99 - - [30/Jan/2011:12:02:14 +0300] "GET /_admin/ HTTP/1.0" 404 25473 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506)"
46.73.213.99 - - [30/Jan/2011:12:02:15 +0300] "GET / HTTP/1.0" 200 63552 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506)"
46.73.213.99 - - [30/Jan/2011:12:02:17 +0300] "GET /js/easy.php HTTP/1.0" 404 25481 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506)"
46.73.213.99 - - [30/Jan/2011:12:02:18 +0300] "GET /admin/content/sitetree/ HTTP/1.0" 404 25509 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506)"
46.73.213.99 - - [30/Jan/2011:12:02:20 +0300] "HEAD /domain/admin/ HTTP/1.0" 404 - "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506)"
46.73.213.99 - - [30/Jan/2011:12:02:21 +0300] "GET /cgi-bin/CMS/getcontent.cgi?template=LoginPage&alias=nicht HTTP/1.0" 404 4250 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506)"
46.73.213.99 - - [30/Jan/2011:12:02:21 +0300] "GET /CMS/getcontent.cgi?template=LoginPage&alias=nicht HTTP/1.0" 404 4250 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506)"
46.73.213.99 - - [30/Jan/2011:12:02:21 +0300] "GET /manager/ HTTP/1.0" 404 25474 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506)"
46.73.213.99 - - [30/Jan/2011:12:02:22 +0300] "GET /manager/includes/accesscontrol.inc.php HTTP/1.0" 404 25544 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506)"
46.73.213.99 - - [30/Jan/2011:12:02:23 +0300] "GET /manager/actions/access_permissions.dynamic.php HTTP/1.0" 404 25564 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506)"
46.73.213.99 - - [30/Jan/2011:12:02:23 +0300] "GET /admin/ HTTP/1.0" 404 25472 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506)"
46.73.213.99 - - [30/Jan/2011:12:02:24 +0300] "GET /hostcmsfiles/main.js HTTP/1.0" 404 4250 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506)"
46.73.213.99 - - [30/Jan/2011:12:02:27 +0300] "GET /engine/engine.php HTTP/1.0" 404 25495 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506)"
46.73.213.99 - - [30/Jan/2011:12:02:29 +0300] "GET /wp-login.php HTTP/1.0" 404 25486 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506)"
46.73.213.99 - - [30/Jan/2011:12:02:29 +0300] "GET /administrator/ HTTP/1.0" 303 - "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506)"
46.73.213.99 - - [30/Jan/2011:12:02:30 +0300] "GET /404 HTTP/1.0" 404 25465 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506)"
46.73.213.99 - - [30/Jan/2011:12:02:31 +0300] "GET /404 HTTP/1.0" 404 25465 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506)"
46.73.213.99 - - [30/Jan/2011:12:02:31 +0300] "GET /typo3/index.php HTTP/1.0" 404 25493 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506)"
46.73.213.99 - - [30/Jan/2011:12:02:32 +0300] "GET /admin/login.php HTTP/1.0" 404 25493 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506)"

Кто-то "ломился" в админку сайта. Конечно же, ничего у злоумышленника не вышло.
Из логов видно, что "кулцхакер" пытался определить используемую cms. Собственно для этого давно уже есть сервисы. Например http://2ip.ru/cms/ (ищет признаки использования той или иной cms, и включает в себя все более-менее распространенные "движки" сайтов).
Больше я никогда не пользовался данными логами. В них просто нет необходимости. На мой взгляд, больший интерес представляют логи из файла host.errors.log, в котором отображаются ошибки. И если ваш сайт работает без ошибок, то его размер будет равняться нулю ;)
nginx_drupal[1].gif
nginx_drupal[1].gif (17.5 Кб) Просмотров: 9570
 

Комментарии

  1. А еще в настройках всех логов есть ротация по максимальному размеру ...можно каждому в отдельности указать порог...можно общее занимаемое логами пространство выставить...все будет подтираться автоматически...
    А на VPS есть еще настройка и по дате записей...У нас настроено - не более 30 дней...Так что за 14 октября записей уже нет...
  2. Я читал документацию, и в курсе про ротацию логов. Но, к сожалению, так и не смог настроить, поэтому просто отключил их за ненадобностью. Наверно я просто ленив и не стал уделять этому моменту достаточного времени и внимания.
  3. Так и не объявился. Пропал совсем. Обидно канечна...
Комментариев: 4 • Страница 1 из 1