Apache ログを F5 アタックが探しやすいように整形する (Red Hat 4.5) : Web サーバー運用・管理


Apache ログを IP アドレスで並び替える

同じ接続元からの多数の迷惑アクセス (F5 アタック) を探しやすくするために、取得されている Apache ログを IP 順に並べて表示してみることにしました。

たとえば、次のようなスクリプトを作成して "f5-check.sh" などという名前で保存します。

#!/bin/sh

 

LOGFILE=$1

if [ $2 ]; then

RECORDS=$2

else

RECORDS=500

fi

 

tail -$RECORDS $LOGFILE | sort -k 1,4 | less -S

例えばこのようなスクリプトを作成して、実行権限を与えておけば、アクセス過多で Web サービスが停止してしまった場合に、次のようにしてログを IP アドレス順で画面に出力することができます。

./f5-check.sh /var/log/httpd/access_log 100

これで、Apache が記録しているアクセスログ "/var/log/httpd/access_log" の最後 100 行を IP 順に並べた結果が、ページャー "less" を使って表示されます。

後は、原始的な方法になりますが、この中から不自然にまとまって登場する IP アドレスを探してみることで、F5 アタックを実行していると思われるホストの IP アドレスを探すことがしやすくなると思います。