iT邦幫忙

2018 iT 邦幫忙鐵人賽
DAY 3
0
Security

為了明日的重開機系列 第 3

為了明日的重開機-2(WEB Access Log)

「小四,這個報表內容,好像怪怪的,你聯絡一下。」

這話聽起來很像一位主管對下屬說的,但是...他眼前24個大大小小的螢幕,螢幕裡的內容,不是即時的系統狀態圖、網路流量表,而是不同的真人直播。他面前不是滿桌的資料,而是整桌食物和飲料,這不是上班,『這』絕對不『是上班』。

主管叫我看的報表,今天這一份,就有六十幾頁,那密密麻麻的內容,就像用梵文寫出來的 『Web access log』一樣,報表除了沒有分類、沒有過濾更沒有排除,主管指的內容怪,是在說這個怪嗎? 還是那裡怪?

255.300.20.1  [15/Dec/2017:05:59:48 +0800] "GET /taitung/2014/09/01/2014%E9%80%8D%E9%A8%8E%E7%87%9F%E6%9D%B1%E5%B2%B8%E9%A8%8E%E5%A3%AB%E7%AF%8009130914%E9%96%8B%E9%A8%8E%E4%BA%86/?share=google-plus-1 HTTP/1.1" 302 604 "-" "Mozilla/5.0 (compatible; MJ12bot/v1.4.7; http://mj12bot.com/)"
144.76.12.66  [15/Dec/2017:05:59:55 +0800] "GET /taitung/2014/09/01/2014%E9%80%8D%E9%A8%8E%E7%87%9F%E6%9D%B1%E5%B2%B8%E9%A8%8E%E5%A3%AB%E7%AF%8009130914%E9%96%8B%E9%A8%8E%E4%BA%86/?share=twitter HTTP/1.1" 302 740 "-" "Mozilla/5.0 (compatible; MJ12bot/v1.4.7; http://mj12bot.com/)"
144.76.12.66  [15/Dec/2017:05:59:59 +0800] "GET /taitung/2014/09/25/%E5%B0%8F%E9%90%B5%E9%81%93%E7%9A%84%E4%B8%80%E6%B3%8A%E4%BA%8C%E9%A3%9F/?share=facebook HTTP/1.1" 302 625 "-" "Mozilla/5.0 (compatible; MJ12bot/v1.4.7; http://mj12bot.com/)"
144.76.12.66  [15/Dec/2017:06:00:02 +0800] "GET /taitung/2014/09/25/%E5%B0%8F%E9%90%B5%E9%81%93%E7%9A%84%E4%B8%80%E6%B3%8A%E4%BA%8C%E9%A3%9F/?share=google-plus-1 HTTP/1.1" 302 547 "-" "Mozilla/5.0 (compatible; MJ12bot/v1.4.7; http://mj12bot.com/)"
144.76.12.66[15/Dec/2017:06:00:09 +0800] "GET /taitung/2014/09/25/%E5%B0%8F%E9%90%B5%E9%81%93%E7%9A%84%E4%B8%80%E6%B3%8A%E4%BA%8C%E9%A3%9F/?share=twitter HTTP/1.1" 302 628 "-" "Mozilla/5.0 (compatible; MJ12bot/v1.4.7; http://mj12bot.com/)"
144.76.12.66 - - [15/Dec/2017:06:00:13 +0800] "GET /taitung/2014/09/27/2014%E8%87%BA%E7%81%A3%E5%9C%8B%E9%9A%9B%E8%A1%9D%E6%B5%AA%E5%85%AC%E9%96%8B%E8%B3%BD%E5%9C%A8%E5%8F%B0%E6%9D%B1%E6%9D%B1%E6%B5%B7%E5%B2%B8%E7%AD%89%E4%BD%A0%E4%B8%80%E8%B5%B7%E4%BE%86%E8%A1%9D/?share=facebook HTTP/1.1" 404 23213 "-" "Mozilla/5.0 (compatible; MJ12bot/v1.4.7; http://mj12bot.com/)"
Hello, every one, can you see me ? I'm here, hahahahahahahahaha.
144.76.12.66  [15/Dec/2017:06:00:16 +0800] "GET /taitung/2014/10/20/%E6%97%97%E9%82%80%E6%A9%99%E5%8A%9F%E6%85%A2%E6%97%85%E8%A1%8C%E4%B9%8B%E7%A0%B4%E6%B5%AA%E8%80%8C%E5%87%BA%E6%A8%99%E6%97%97%E9%AD%9A%E9%AB%94%E9%A9%97%E8%B6%A3/?share=facebook HTTP/1.1" 404 23213 "-" "Mozilla/5.0 (compatible; MJ12bot/v1.4.7; http://mj12bot.com/)"
144.76.12.66 [15/Dec/2017:06:00:19 +0800] "GET /taitung/2014/10/20/%E6%97%97%E9%82%80%E6%A9%99%E5%8A%9F%E6%85%A2%E6%97%85%E8%A1%8C%E4%B9%8B%E7%A0%B4%E6%B5%AA%E8%80%8C%E5%87%BA%E6%A8%99%E6%97%97%E9%AD%9A%E9%AB%94%E9%A9%97%E8%B6%A3/?share=google-plus-1 HTTP/1.1" 404 23213 "-" "Mozilla/5.0 (compatible; MJ12bot/v1.4.7; http://mj12bot.com/)"
144.76.12.66[15/Dec/2017:06:00:22 +0800] "GET /taitung/2014/10/20/%E6%97%97%E9%82%80%E6%A9%99%E5%8A%9F%E6%85%A2%E6%97%85%E8%A1%8C%E4%B9%8B%E7%A0%B4%E6%B5%AA%E8%80%8C%E5%87%BA%E6%A8%99%E6%97%97%E9%AD%9A%E9%AB%94%E9%A9%97%E8%B6%A3/?share=twitter HTTP/1.1" 404 23213 "-" "Mozilla/5.0 (compatible; MJ12bot/v1.4.7; http://mj12bot.com/)"
144.76.12.66 [15/Dec/2017:06:00:25 +0800] "GET /taitung/2014/11/02/%E5%86%AC%E9%81%8A%E5%8F%B0%E6%9D%B1%E5%A5%BD%E5%A5%BD%E8%A1%8C%E6%B5%B7%E9%99%B8%E7%A9%BA%E9%9B%99b%E9%80%9A%E9%80%9A%E6%9C%89%E5%84%AA%E6%83%A0%E8%B6%B4%E8%B6%B4%E8%B5%B0%E5%8F%B0%E6%9D%B1/?share=facebook HTTP/1.1" 404 23213 "-" "Mozilla/5.0 (compatible; MJ12bot/v1.4.7; http://mj12bot.com/)"
144.76.12.66 [15/Dec/2017:06:00:28 +0800] "GET /taitung/2014/11/02/%E5%86%AC%E9%81%8A%E5%8F%B0%E6%9D%B1%E5%A5%BD%E5%A5%BD%E8%A1%8C%E6%B5%B7%E9%99%B8%E7%A9%BA%E9%9B%99b%E9%80%9A%E9%80%9A%E6%9C%89%E5%84%AA%E6%83%A0%E8%B6%B4%E8%B6%B4%E8%B5%B0%E5%8F%B0%E6%9D%B1/?share=google-plus-1 HTTP/1.1" 404 23213 "-" "Mozilla/5.0 (compatible; MJ12bot/v1.4.7; http://mj12bot.com/)"
144.76.12.66  [15/Dec/2017:06:00:31 +0800] "GET /taitung/2014/11/02/%E5%86%AC%E9%81%8A%E5%8F%B0%E6%9D%B1%E5%A5%BD%E5%A5%BD%E8%A1%8C%E6%B5%B7%E9%99%B8%E7%A9%BA%E9%9B%99b%E9%80%9A%E9%80%9A%E6%9C%89%E5%84%AA%E6%83%A0%E8%B6%B4%E8%B6%B4%E8%B5%B0%E5%8F%B0%E6%9D%B1/?share=twitter HTTP/1.1" 404 23213 "-" "Mozilla/5.0 (compatible; MJ12bot/v1.4.7; http://mj12bot.com/)"
144.76.12.66 - - [15/Dec/2017:06:00:34 +0800] "GET /taitung/2014/11/02/%E5%A4%A7%E5%8F%94%E7%B4%9A%E7%BE%8E%E5%91%B3_%E4%BB%96%E6%91%B3%E5%B1%AC%E6%B7%91%E7%9A%84%E6%89%8B%E5%81%9A%E6%8A%AB%E8%96%A9/?share=facebook HTTP/1.1" 302 771 "-" "Mozilla/5.0 (compatible; MJ12bot/v1.4.7; http://mj12bot.com/)"
144.76.12.70  [15/Dec/2017:06:00:37 +0800] "GET /taitung/2014/11/02/%E5%A4%A7%E5%8F%94%E7%B4%9A%E7%BE%8E%E5%91%B3_%E4%BB%96%E6%91%B3%E5%B1%AC%E6%B7%91%E7%9A%84%E6%89%8B%E5%81%9A%E6%8A%AB%E8%96%A9/?share=google-plus-1 HTTP/1.1" 302 638 "-" "Mozilla/5.0 (compatible; MJ12bot/v1.4.7; http://mj12bot.com/)"
144.76.12.66  [15/Dec/2018:06:00:44 +0800] "GET /taitung/2014/11/02/%E5%A4%A7%E5%8F%94%E7%B4%9A%E7%BE%8E%E5%91%B3_%E4%BB%96%E6%91%B3%E5%B1%AC%E6%B7%91%E7%9A%84%E6%89%8B%E5%81%9A%E6%8A%AB%E8%96%A9/?share=twitter HTTP/1.1" 302 774 "-" "Mozilla/5.0 (compatible; MJ12bot/v1.4.7; http://mj12bot.com/)"


我這份報告是...果然又是她印出來的,她是誰呢? 她是已經在這間公司老鳥新人,說話只會輕聲細語,做事絕對補別人刀的...『天樂』...每天補別人刀,當然會很快樂,這個『天樂』是我給她取的...『別人』是誰呢? 當然是我...我可是小四耶...算了。

廁所裡的那位『太子』和這位『天樂』是絕配啊,他們兩人在辦公室,就像兩條不交錯的平行線,誰都不犯誰,相安無事,就像 1 + (-1) 一樣,除此之外,他們從不會去做『讓主管不開心的事』,但...我們的主管也不是吃素的,一不高興...那個「貝基拉馬」就下來了,「貝基拉馬」是什麼? 在日系RPG的世界裡,就是火系咒文,用魔獸世界的講法,就是火法的AE技能...好啦,我知道你們都不宅,所以你們不懂,我了解的。

總之,我們主管每次一發火,『太子』和『天樂』就像兩個獨立的反光鏡,將主管的怒氣,導向我這邊...沒辦法,誰叫我菜...

「我的小四,你就別生氣了啦...待會帶你去買乖乖哦...明天繼續去被老鳥欺負唄。」

我對面的小七,開心的聽著,我的遭遇。我手握著的是今早的那份梵文log,到底那裡怪? 不就是一堆log...

(待)

以Apache web access log 來說,它記錄了Client(User) 存取WEB Server時的記錄,從我自己租用的主機來看。下列這一筆log記錄,分成幾個部份,告訴我們一些事情。

127.0.0.1  [20/Dec/2017:16:03:28 +0800] "GET /076565000/images/portfolio/big_31.jpg HTTP/1.1" 200 168515 "http://www.travel167.com/076565000/desktop.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64)

我們拆開來看,並套入Apache LogFormat 的參數,結果就是..

(1) 127.0.0.1 來源的IP位置,有人可能會說,為什麼不是來源的主機名稱(host name),而是IP位置。通常,如果記錄時的內容是hostname,那對主機本身的負載(Loading)會較重,考量到網站效能,記錄IP較好,真的需要查詢主機名稱時,再用指令反查就可以了。

(2) User 對Web Server 發出Request的時間,目前我們還是+8,以後不知道會不會變成+9...如果會的話...恭喜各位IT人了。

(3) GET /076565000/images/portfolio/big_31.jpg HTTP/1.1 ,白話文可以說成,使用HTTP/1.1 中的GET, 取得big_31.jpg這個檔案。
GET 指的是,這一筆log,對web server發出一個GET的請求,常見的有GET,POST 和HEAD和其它,可參考

iThome https://www.ithome.com.tw/node/80062 或 進度條 https://progressbar.tw/posts/53

(4) 200 ,是一個狀態代碼,200本身表示已成功回傳,沒有遇到問題。

(5)  168515 是此次傳輸的長度,單位是Bytes.

(6) "http://www.travel167.com/076565000/desktop.php " 指的是透過這個desktop.php 頁面,取得big_31.jpg,實際的畫面如下:

https://ithelp.ithome.com.tw/upload/images/20171221/20006132UGkSqmo9WA.png

在desktop.php 這個網頁中,因為要看大尺吋的照片,所以點了一張,點選後,網站也打開了這個新modal,顯示的是big_31.jpg。


(7)Mozilla/5.0 (Windows NT 10.0; Win64; x64) 指的是User 本身的環境簡述。


Apache LogFormat 參數說明,可參考

http://httpd.apache.org/docs/current/mod/mod_log_config.html

(待)

2017/12/21 SunAllen


上一篇
為了明日的重開機-1(IDC&NOC)
下一篇
為了明日的重開機-3(Ethics)
系列文
為了明日的重開機34

尚未有邦友留言

立即登入留言