Antworten auf Ihre häufigsten Fragen

Wie sind die Logfiles aufgebaut?
pdf print

Die Logfiles sind immer nach einem festen Schema aufgebaut. Dadurch wird zum einen das Lesen der Logs vereinfacht, zum anderen lassen sich die Logs so auch automatisiert auswerten. Im Folgenden gehen wir einmal im Detail auf den Aufbau der einzelnen Logs ein.

Access Log

Hier einmal ein Beispiel eines Access Log Eintrags, welcher relativ häufig zu sehen ist:

66.249.71.15 - - [18/Jun/2017:12:37:47 +0100] "GET /robots.txt HTTP/1.0" 404 1071 "-" "Googlebot/2.1 (+http://www.google.com/bot.html)" "www.nureinbeispiel.de"

Dieser Zeile können Sie entnehmen, dass eine Suchmaschine Ihre Seite besucht hat. Es wurde nach der Datei robots.txt gesucht, aber nicht gefunden - daher wurde die Anfrage mit einem 404 Fehler beantwortet.

Der Aufbau dieser Zeile stellt sich wie folgt dar:

66.249.71.15

Die IP-Adresse des Besuchers

-

Sofern die Seite mit einem Passwortschutz versehen ist, wird hier der verwendete Benutzername angezeigt. Andernfalls erscheint hier nur ein Bindestrich.

-

Bei dem zweiten Bindestrich handelt es sich lediglich um ein Trennzeichen ohne weitere Bedeutung.

[18/Jun/2017:12:37:47 +0100]

Zeitpunkt des Zugriffs mit Angabe der Zeitzone.

"GET /robots.txt HTTP/1.0"

Die Anfrage des Besuchers. Hier ist die verwendete HTTP-Anfragemethode (hier GET), die angefragte Datei (robots.txt) und die genutzte Version des HTTP-Protokolls einsehbar.

404

Der HTTP-Statuscode, mit dem der Server geantwortet hat.

1071

Die Größe der Serverantwort in Bytes.

"-"

Der HTTP-Referer, sofern gesetzt. Ist keiner gesetzt, erscheint hier nur ein Bindestrich.

"Googlebot/2.1 (+http://www.google.com/bot.html)"

Der User-Agent des Besuchers.

"www.nureinbeispiel.de"

Die vom Besucher aufgerufene Domain.

Ein weiteres Beispiel:

10.20.xxx.xxx - -[05/Jun/2017:08:58:44 +0100] "GET /index.html HTTP/1.1" 200 713 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:54.0) Gecko/20100101 Firefox/54.0" "www.nureinbeispiel.de"

Hier hat ein Besucher (IP-Adresse gekürzt) am 05.06.2017 um 08:58 Uhr Ihre Seite www.nureinbeispiel.de besucht. Ihm wurde das 713 byte große Index-Dokument (GET /) erfolgreich angezeigt (Statuscode 200). Als Browser (User-Agent) wurde Firefox 54.0 auf Windows 10 64-bit benutzt.

Error Log

Im Error Log werden sämtliche auftretenden Fehler dokumentiert. Bei diesen Fehlermeldungen kann es sich um Fehler in PHP oder CGI Skripten oder um Meldungen des Webservers selbst handeln. Im Folgenden einmal ein Beispiel einer vom Webserver generierten Meldung:

[Sun Jun 18 12:56:32 2017] [autoindex:error] [pid 31839] [client 66.249.76.156] [host nureinbeispiel.de] AH01276: Cannot serve directory /is/htdocs/wp1234567_ABCDEFGHI/www/: No matching DirectoryIndex (index.html,index.htm,index.shtml,index.php,index.php5,index.wml,index.xml) found, and server-generated directory index forbidden by Options directive

Der Aufbau des Eintrags ist Ähnlich dem des Access Logs:

[Sun Jun 18 12:56:32 2017]

Zeitpunkt des Zugriffs

[autoindex:error]

Webservermodul, in dem der Fehler aufgetreten ist. Hier zum Beispiel das "Autoindex" Modul.

[pid 31839]

Die Prozess-ID des Webserverprozesses.

[client 66.249.76.156]

Die IP-Adresse des Besuchers.

AH01276: Cannot serve directory /is/htdocs/wp1234567_ABCDEFGHI/www/: No matching DirectoryIndex [...] found,[...]

Fehlercode und Fehlermeldung.

Durch PHP erzeugte Fehlermeldungen sind nach dem gleichen Schema aufgebaut. Eine Auflistung gängiger PHP Fehler und deren Ursachen finden Sie im folgenden Artikel: Wie lauten gängige Skript-Fehlermeldungen im Error-Log?

Der zugehörige Access Log Eintrag zur oben genannten Fehlermeldung sieht wie folgt aus:

66.249.76.156 - - [18/Jun/2017:12:56:32 +0200] "GET / HTTP/1.1" 403 2940 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "nureinbeispiel.de"

Hier hat am Sonntag, den 18.06.2017 um 12:56 Uhr, ein Besucher mit der IP 66.249.76.156 beim Aufruf der Domain nureinbeispiel.de einen Fehler (Statuscode 403) verursacht. Die Ursache des Fehlers ist gemäß dem Anfangs genannten Eintrag im Error Log ein fehlendes Index-Dokument (z.B eine index.php oder index.html).

FTP Log

Die FTP-Logs, welche Sie über das KIS anfordern können, sind - wie im folgenden Beispiel erkennbar - im Gegensatz zu den oben behandelten Webserver Logs weit simpler aufgebaut:

STOR ftp1234567-benutzer 16 10.20.xxx.xxx [18/Jun/2017:15:00:53 +0200] "/is/htdocs/wp1234567_ABCDEFGHI/www/test/info.php"

Die einzelnen Felder lauten hier wie folgt:

STOR

Der genutzte FTP Befehl. Hier können unter anderen folgende Befehle auftauchen:

  • STOR: Lade eine Datei hoch
  • RETR: Lade eine Datei herunter
  • DELE: Lösche eine Datei
  • MKD: Erstelle ein Verzeichnis
ftp1234567-benutzer

Der verwendete FTP-Benutzer.

16

Die Größe der Datei in Bytes.

10.20.xxx.xxx

Die IP-Adresse (hier gekürzt) des PCs, der die Aktion durchgeführt hat.

[18/Jun/2017:15:00:53 +0200]

Zeitpunkt des Zugriffs mit Angabe der Zeitzone.

"/is/htdocs/wp1234567_ABCDEFGHI/www/test/info.php"

Die Datei oder Das Verzeichnis, welches bearbeitet wurde

Hier lässt sich also sagen, dass jemand sich von der IP-Adresse 10.20.xxx.xxx mit dem Benutzernamen ftp1234567-benutzer am Server angemeldet und die 16 Byte große Datei "info.php" auf dem Server abgelegt hat.


otto.friedrich@hosteurope.de xanthippe.ypsilante@hosteurope.de hercules.ikarus@hosteurope.de