32.運用すっか ～ログチェック編～

平穏無事に運用するにはログのチェックは不可欠である。しかしログを取ってはいてもそれを全然チェックしてなくてディスクの肥やしになっていることも多い。ここでは最低限やっておくログチェックについて考える。

Protector見てる?

Protectorは不正アクセスの防御のため公開サイトなら入れておかなくてはならないモジュールである。しかしモジュールを入れてそのままってケースも多い。まあ、Protector自体は設定さえキチンとしておけばほぼオートで動くモジュールなのでそれでもかまわないのだが、ログチェックをするのなら貴重な情報を提供してくれる。毎日チェックしよう。

これがProtectorの「Protect Center」である(管理メニューで選択)。下に不正アクセスの履歴が表示されており、「種別」でアタックの種類が分かる。詳しくはここを参考に。

ModuleManuals/​protectorV3 http://www.xugj.org/modules/xpwiki/?ModuleManuals/protectorV3

うちの過去の例だと、圧倒的に「URI SPAM」(記述されているURIの数が規定以上のスパム投稿)が多い。ほとんどがd3forumへの投稿実施である。Protectorがガードしているが、d3forumでのゲストのHTML投稿は原則禁止にすべきだろう。あとは「CONTAMI」(システムグローバル変数汚染関連の攻撃)、xmlrpc(xmlrpc.phpへのアクセス)が多い。また一時期の某baiduのようなあまり行儀のよくないクローラーも散見される。目に余るようなら、とりあえずProtectorの「拒否IPリスト」に入れておき様子を見る。それでもおさまらない場合は、.htaccessでシャットアウトしてしまおう。

analog

CORESERVERではコントロールパネルの「アクセスログ統計」でanalogによるウェブサーバの統計を見ることができる。当日のログは見れないが、前日から1ヶ月前までの統計は見れるのでここもチェックしておく。
これで主に見るのは、「組織別レポート」「ホストレポート」でどんな所からアクセスが多いのか見ておく(ときどき「おろっ」って所からアクセスしているときもある)。「参照元不成功レポート」「リクエスト不成功レポート」でリンク切れの可能性のあるページが分かるので要チェック。あと「参照元サイトレポート」「検索語句レポート」「リクエストレポート」などでどんなページか好まれるのか見ておけば便利。
analogは不正アクセスというより正常アクセスの動向を調べるソフトなので、サイト運営の参考にはなる。

Analyzer for XC

analogは当日のデータは見れない。当日のログを見たいなら、Analyzer for XCを使うことになる。うちでは人間のお客さんよりサーチエンジンのボットの方が多い状況なのだが、アクセス状況をいろいろな角度から見れて便利。そのうち時間ができたらExcel(というかうちで使ってるのはOOo Calcなのだが)の分析マクロでも書いてみっか、と思ってる。
もっと簡単に統計とか見たいならLogCounterX(http://xoops.taquino.net/)とかもお勧め。