Apache ログを F5 アタックが探しやすいように整形する (Red Hat 4.5) : Web サーバー運用・管理
Apache ログを IP アドレスで並び替える
同じ接続元からの多数の迷惑アクセス (F5 アタック) を探しやすくするために、取得されている Apache ログを IP 順に並べて表示してみることにしました。
たとえば、次のようなスクリプトを作成して "f5-check.sh" などという名前で保存します。
#!/bin/sh
LOGFILE=$1
if [ $2 ]; then
RECORDS=$2
else
RECORDS=500
fi
tail -$RECORDS $LOGFILE | sort -k 1,4 | less -S
例えばこのようなスクリプトを作成して、実行権限を与えておけば、アクセス過多で Web サービスが停止してしまった場合に、次のようにしてログを IP アドレス順で画面に出力することができます。
./f5-check.sh /var/log/httpd/access_log 100
これで、Apache が記録しているアクセスログ "/var/log/httpd/access_log" の最後 100 行を IP 順に並べた結果が、ページャー "less" を使って表示されます。
後は、原始的な方法になりますが、この中から不自然にまとまって登場する IP アドレスを探してみることで、F5 アタックを実行していると思われるホストの IP アドレスを探すことがしやすくなると思います。