Erişim Log Kayıtları ve Analizi

Web Sunucu Log Kayıtları

Apache web sunucusunda yayın yapan bir internet sitesine ait erişim log dosyasından örnek bir satır gösterilmiştir.

88.238.104.1** – – [18/Jun/2017:21:15:31 +0300]GET /hakkinda HTTP/1.1200 740 “http://www.cenk.ninja/” “Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/59.0.3071.104 Safari/537.36”

88.238.104.1** : Trafiğin nereden geldiğini gösteren bir IP adresi (İstek Yapan IP adresi)
[18/Jun/2017:21:15:31 +0300] : İstek oluştuğu andaki sunucu saati / Zaman dilimi
GET : İstek Yöntemi
/hakkinda : İstek yapılan URL adresi
HTTP/1.1 : Protokol Bilgisi
200 : Sunucudan Alınan Yanıt
740 : Yanıtın bayt cinsinden boyutu
“http://www.cenk.ninja” : İstek yapılan URL adresine nereden gelindiği (Referans) Eğer – işareti varsa referer yoktur ziyaretçiler siteye doğrudan giriş yapmışlardır.
Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/59.0.3071.104 Safari/537.36 : User-agent Bilgisi

User Agent : Web tarayıcıları içerisinde user agent diye tabir edilen bir string (dize) barındırır. Tarayıcıdan herhangi bir internet sitesine bağlandığınızda hangi tarayıcıyı/versiyonu ve işletim sistemini kullandığınız tespit edilebilir.
Örnek olarak http://www.useragentstring.com/ URL adresini ziyaret ederek tarayıcınız, versiyonu, ve işletim sisteminiz hakkında bilgi alabilirsiniz.
User Agent bilgisi değiştirilebilir yani manipüle edilebilir bir kavramdır. Gizliliğinize önem veren ya da saldırgan kişiler user-agent bilgisini değiştirerek hedef sistemi ziyaret edebilirler. Günümüzde bu işlemi gerçekleştiren oldukça basit uygulamalar mevcuttur. Örneğin; User Agent Switcher adlı mozilla ve chrome tarayıcılarda çalışan eklenti.

Örnek apache error log (sunucu hata günlüğü) satırı:

[Sun Jun 18 20:20:09.961372 2017] [core:error] [pid 16637:tid 4328636416] [client 88.238.104.1**] Dosya yok: /usr/local/apache2/htdocs/favicon.ico

[Sun Jun 18 20:20:09.961372 2017] : İletinin yazıldığı tarih ve saat
[core:error] : İletiyi üreten modül ve bilginin önem derecesi
[pid 16637:tid 4328636416] : Varsa sürecin kimliği ve varsa evre kimliği
[client 88.238.104.1**] : Hatanın üretilmesine sebep olan istemcinin IP adresi
Dosya yok : /usr/local/apache2/htdocs/favicon.ico : İletinin kendisidir

Apache günlük dosyalarının yapılandırılması ve güvenlik uyarıları için detaylı bilgiyi https://httpd.apache.org/docs/2.4/tr/logs.html URL adresinde bulabilirsiniz.


Örnek IIS sunucuda yayın yapan bir internet sitesine ait log kayıt örneği (W3C formatında)

#Software: Microsoft Internet Information Services 6.0

#Version: 1.0

#Date: 2002-05-24 20:18:01

#Fields: date time c-ip cs-username s-ip s-port cs-method cs-uri-stem cs-uri-query sc-status sc-bytes cs-bytes time-taken cs(User-Agent) cs(Referrer)

2002-05-24 20:18:01 172.224.24.114206.73.118.24 80 GET /Default.htm200 7930 248 31 Mozilla/4.0+(compatible;+MSIE+5.01;+Windows+2000+Server) http://64.224.24.114/

2002-05-24 20:18:01 : Tarih ve saat bilgisi
172.224.24.114 : İstemci IP adresi
– : Kullanıcının isimsiz olduğunu gösterir
206.73.118.24 : Sunucunun IP adresi.
80 : Sunucu bağlantı noktası.(port)
GET : İstek Yöntemi
/Default.htm : Kullanıcının içeriği görüntülemek istediği sayfa
– : URI sorgusu oluşmadı.
200 : Sunucudan alınan yanıt
7930 : Sunucunun istemciye gönderdiği bayt sayısı.
248 : İstemcinin sunucuya gönderdiği bayt sayısı.
31 : Eylemin tamamlanma milisaniyesi
Mozilla/4.0+(compatible;+MSIE+5.01;+Windows+2000+Server) : User-agent bilgisi
http://64.224.24.114/ : Web sitesine bağlantı sağlayan Web sayfası.(referer)

Detaylı bilgi için https://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/ffdd7079-47be-4277-921f-7a3a6e610dcb.mspx?mfr=true URL adresini ziyaret edebilirsiniz.


Erişim (access) ve error (hata) log kayıtları genel olarak birbirine benzediği için yukarıdaki sütunların anlamlarına bakarak diğerlerine kolayca yorumlayabilirsiniz. Bu nedenle nginx vb. diğer sunucu türlerine ait log kayıtlarını örnekler ile anlatarak konuyu şişirmeden sonlandıralım. 🙂

Site Footer