retours d'expériences, codes sources, réflexions, humeurs... d'un webmaster

Les fichiers log enregistrent les informations relatives au suivi des services et des logiciels.
Ainsi analyser les logs, c'est surveiller l'activité des différents services installés sur votre serveur: web, ftp, ssh, mail, taches crons, scripts…

La supervision de ces fichiers est indispensable. Elle permet de détecter des comportements anormaux, d'expliquer les bugs ou de surveiller les connexions sur la machine.

Voici la liste des logs à surveiller.

Logs générés par le système

btmp : journalise toutes les tentatives infructueuses de connexion. Vous pouvez afficher les derniers logs avec la commande lastb
/var/log/btmp

[root@serveur log]# lastb
dave     ssh:notty    85.183.246.35    Mon Dec  1 14:03 - 14:03  (00:00)    
dave     ssh:notty    85.183.246.35    Mon Dec  1 14:03 - 14:03  (00:00)    
cisco    ssh:notty    85.183.246.35    Mon Dec  1 14:03 - 14:03  (00:00)    
cisco    ssh:notty    85.183.246.35    Mon Dec  1 14:03 - 14:03  (00:00)    
alan     ssh:notty    85.183.246.35    Mon Dec  1 14:03 - 14:03  (00:00)    
alan     ssh:notty    85.183.246.35    Mon Dec  1 14:03 - 14:03  (00:00)   

wtmp : journalise toutes les connexions et déconnexions. Vous pouvez afficher les derniers logs avec la commande last
/var/log/wtmp

[root@serveur log]# last
user1  ftpd6130     194.206.158.82   Mon Dec  1 11:40 - 11:50  (00:09)    
user2 ftpd5259     194.206.158.82   Mon Dec  1 11:33 - 11:38  (00:04)    
user3    ftpd4746     82.233.192.128   Mon Dec  1 11:28 - 11:39  (00:11)    
user4   pts/0        194.206.158.82   Mon Dec  1 11:01 - 13:03  (02:02)    
user2    ftpd27892    81.49.105.221    Mon Dec  1 10:05 - 10:06  (00:00)

cron : exécutions des tâches automatiques programmées. Vous permet de vérifier que vos tâches se lancent bien.
/var/log/cron

[root@serveur log]# tail –f /var/log/cron
Nov 30 05:29:43 ns363439 run-parts(/etc/cron.weekly)[24910]: finished 0anacron
Nov 30 05:29:43 ns363439 run-parts(/etc/cron.weekly)[24912]: starting makewhatis.cron
Nov 30 05:29:43 ns363439 anacron[24908]: Updated timestamp for job `cron.weekly' to 2008-11-30
Nov 30 05:30:01 ns363439 CROND[5213]: (root) CMD (/usr/local/rtm/bin/rtm 2 > /dev/null 2> /dev/null)

Logs FTP

xferlog : transferts FTP. Permet de surveiller les transferts FTP effectués : quels fichiers et par qui.
/var/log/xferlog

[root@serveur log]# tail –f /var/log/xferlog
Wed De6c  3 11:20:00 2008 18 41.248.244.159 49173 /home/user1/rep/file.rar b _ i r user1 ftp 0 * c
Wed Dec  3 11:20:08 2008 20 41.248.244.159 636928 /home/user1/rep/file.txt b _ i r user1 ftp 0 * c
Wed Dec  3 11:34:48 2008 432 82.233.192.128 40356307 /home/user4/file.EXE b _ i r usder4 ftp 0 * c

Logs générés par Apache

access_log : liste de toutes les requêtes HTTP reçues par le serveur. Ce fichier est en général utilisé par certains programmes (webalizer, awstats) pour générer les statistiques d'accès à vos sites Web.
/var/log/httpd/access_log

[root@serveur log]# tail –f /var/log/httpd/access_log
82.226.42.155 - - [03/Dec/2008:15:27:17 +0100] "GET /images/image1.jpg HTTP/1.1" 200 406 "http://www.monsite.fr/index.php" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; HbTools 4.7.3; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"

error_log : liste des erreurs rencontrées par apache. Ce fichier vous donnera les infos sur les erreurs 404 (fichiers inaccessibles), les attaques DOS (déni de service) caractérisées par un nombre anormalement élevé de requêtes envoyées dans un temps très court pour saturer le serveur…
/var/log/httpd/error_log

[root@serveur log]# tail –f /var/log/httpd/error_log
[Wed Dec 03 15:21:58 2008] [error] [client 217.70.85.68] File does not exist: /var/www/vhosts/monsite/_vti_bin
[Wed Dec 03 15:21:58 2008] [error] [client 217.70.85.68] File does not exist: /var/www/vhosts/monsite/MSOffice

Logs générés par le service mail

maillog : journal des mails envoyés par le service de mail (ex : sendmail), peut vous permettre d'identifier des envois anormaux (SPAM)
/var/log/maillog

[root@serveur log]# tail –f /var/log/maillog
Dec  3 13:52:05 ns00000 sendmail[9769]: mB3Cq5h3009767: to=<contact@ndd.fr>,contact@ndd2.fr ctladdr=<apache@ns00000.ovh.net> (48/48), delay=00:00:00, xdelay=00:00:00, mailer=esmtp, pri=212105, relay=mx.mailbox.orange-business.com. [194.2.0.80], dsn=2.0.0, stat=Sent (mB3Cmr3a005017 Message accepted for delivery)

La supervision des logs est une tâche nécessaire, permettant de détecter toute activité suspecte sur votre machine, mais celle-ci est fastidieuse. De plus il n'est pas envisageable de rester coller devant sa console pour surveiller les logs en temps réel.

Il existe des logiciels comme logwatch, qui font chaque matin une analyse complète des logs sur l'activité du serveur durant les dernières 24 heures, et vous envoient le résultat par mail.