Antworten auf Ihre häufigsten Fragen

Wie sind die Logfiles aufgebaut?

English version below

Die Logfiles sind immer nach einem festen Schema aufgebaut. Dadurch wird zum einen das Lesen der Logs vereinfacht, zum anderen lassen sich die Logs so auch automatisiert auswerten. Im Folgenden gehen wir einmal im Detail auf den Aufbau der einzelnen Logs ein.

Access Log

Hier einmal ein Beispiel eines Access Log Eintrags, welcher relativ häufig zu sehen ist:

66.249.71.15 - - [18/Jun/2017:12:37:47 +0100] "GET /robots.txt HTTP/1.0" 404 1071 "-" "Googlebot/2.1 (+http://www.google.com/bot.html)" "www.nureinbeispiel.de"

Dieser Zeile können Sie entnehmen, dass eine Suchmaschine Ihre Seite besucht hat. Es wurde nach der Datei robots.txt gesucht, aber nicht gefunden - daher wurde die Anfrage mit einem 404 Fehler beantwortet.

Der Aufbau dieser Zeile stellt sich wie folgt dar:

66.249.71.15
Die IP-Adresse des Besuchers
-
Sofern die Seite mit einem Passwortschutz versehen ist, wird hier der verwendete Benutzername angezeigt. Andernfalls erscheint hier nur ein Bindestrich.
-
Bei dem zweiten Bindestrich handelt es sich lediglich um ein Trennzeichen ohne weitere Bedeutung.
[18/Jun/2017:12:37:47 +0100]
Zeitpunkt des Zugriffs mit Angabe der Zeitzone.
"GET /robots.txt HTTP/1.0"
Die Anfrage des Besuchers. Hier ist die verwendete HTTP-Anfragemethode (hier GET), die angefragte Datei (robots.txt) und die genutzte Version des HTTP-Protokolls einsehbar.
404
Der HTTP-Statuscode, mit dem der Server geantwortet hat.
1071
Die Größe der Serverantwort in Bytes.
"-"
Der HTTP-Referer, sofern gesetzt. Ist keiner gesetzt, erscheint hier nur ein Bindestrich.
"Googlebot/2.1 (+http://www.google.com/bot.html)"
Der User-Agent des Besuchers.
"www.nureinbeispiel.de"
Die vom Besucher aufgerufene Domain.

Ein weiteres Beispiel:

10.20.xxx.xxx - -[05/Jun/2017:08:58:44 +0100] "GET /index.html HTTP/1.1" 200 713 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:54.0) Gecko/20100101 Firefox/54.0" "www.nureinbeispiel.de"

Hier hat ein Besucher (IP-Adresse gekürzt) am 05.06.2017 um 08:58 Uhr Ihre Seite www.nureinbeispiel.de besucht. Ihm wurde das 713 byte große Index-Dokument (GET /) erfolgreich angezeigt (Statuscode 200). Als Browser (User-Agent) wurde Firefox 54.0 auf Windows 10 64-bit benutzt.

Error Log

Im Error Log werden sämtliche auftretenden Fehler dokumentiert. Bei diesen Fehlermeldungen kann es sich um Fehler in PHP oder CGI Skripten oder um Meldungen des Webservers selbst handeln. Im Folgenden einmal ein Beispiel einer vom Webserver generierten Meldung:

[Sun Jun 18 12:56:32 2017] [autoindex:error] [pid 31839] [client 66.249.76.156] [host nureinbeispiel.de] AH01276: Cannot serve directory /is/htdocs/wp1234567_ABCDEFGHI/www/: No matching DirectoryIndex (index.html,index.htm,index.shtml,index.php,index.php5,index.wml,index.xml) found, and server-generated directory index forbidden by Options directive

Der Aufbau des Eintrags ist Ähnlich dem des Access Logs:

[Sun Jun 18 12:56:32 2017]
Zeitpunkt des Zugriffs
[autoindex:error]
Webservermodul, in dem der Fehler aufgetreten ist. Hier zum Beispiel das "Autoindex" Modul.
[pid 31839]
Die Prozess-ID des Webserverprozesses.
[client 66.249.76.156]
Die IP-Adresse des Besuchers.
AH01276: Cannot serve directory /is/htdocs/wp1234567_ABCDEFGHI/www/: No matching DirectoryIndex [...] found,[...]
Fehlercode und Fehlermeldung.

Durch PHP erzeugte Fehlermeldungen sind nach dem gleichen Schema aufgebaut. Eine Auflistung gängiger PHP Fehler und deren Ursachen finden Sie im folgenden Artikel: Wie lauten gängige Skript-Fehlermeldungen im Error-Log?

Der zugehörige Access Log Eintrag zur oben genannten Fehlermeldung sieht wie folgt aus:

66.249.76.156 - - [18/Jun/2017:12:56:32 +0200] "GET / HTTP/1.1" 403 2940 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "nureinbeispiel.de"

Hier hat am Sonntag, den 18.06.2017 um 12:56 Uhr, ein Besucher mit der IP 66.249.76.156 beim Aufruf der Domain nureinbeispiel.de einen Fehler (Statuscode 403) verursacht. Die Ursache des Fehlers ist gemäß dem Anfangs genannten Eintrag im Error Log ein fehlendes Index-Dokument (z.B eine index.php oder index.html).

FTP Log

Die FTP-Logs, welche Sie über das KIS anfordern können, sind - wie im folgenden Beispiel erkennbar - im Gegensatz zu den oben behandelten Webserver Logs weit simpler aufgebaut:

STOR ftp1234567-benutzer 16 10.20.xxx.xxx [18/Jun/2017:15:00:53 +0200] "/is/htdocs/wp1234567_ABCDEFGHI/www/test/info.php"

Die einzelnen Felder lauten hier wie folgt:

STOR
Der genutzte FTP Befehl. Hier können unter anderen folgende Befehle auftauchen:
  • STOR: Lade eine Datei hoch
  • RETR: Lade eine Datei herunter
  • DELE: Lösche eine Datei
  • MKD: Erstelle ein Verzeichnis
ftp1234567-benutzer
Der verwendete FTP-Benutzer.
16
Die Größe der Datei in Bytes.
10.20.xxx.xxx
Die IP-Adresse (hier gekürzt) des PCs, der die Aktion durchgeführt hat.
[18/Jun/2017:15:00:53 +0200]
Zeitpunkt des Zugriffs mit Angabe der Zeitzone.
"/is/htdocs/wp1234567_ABCDEFGHI/www/test/info.php"
Die Datei oder Das Verzeichnis, welches bearbeitet wurde

Hier lässt sich also sagen, dass jemand sich von der IP-Adresse 10.20.xxx.xxx mit dem Benutzernamen ftp1234567-benutzer am Server angemeldet und die 16 Byte große Datei "info.php" auf dem Server abgelegt hat.

 

 

English version:

The log files are always structured according to a fixed scheme. On the one hand, this simplifies reading the logs, and on the other hand, the logs can also be evaluated automatically. In the following we will go into detail about the structure of the individual logs.

Access Log

Here is an example of an access log entry, which can be seen relatively often:

66.249.71.15 - - [18/Jun/2017:12:37:47 +0100] "GET /robots.txt HTTP/1.0" 404 1071 "-" "Googlebot/2.1 (+http://www.google.com/bot.html)" "www.justanexample.de"

This line tells you that a search engine has visited your site. The robots.txt file was searched for but not found - therefore the request was answered with a 404 error.

The structure of this line is as follows:

66.249.71.15
The visitor's IP address
-
If the page is password protected, the user name used is displayed here. Otherwise, only a hyphen appears here.
-
The second hyphen is just a separator with no further meaning.
[18/Jun/2017:12:37:47 +0100]
Time of access with specification of the time zone.
"GET /robots.txt HTTP/1.0"
The visitor's request. The HTTP request method used (here GET), the requested file (robots.txt) and the version of the HTTP protocol used can be viewed here.
404
The HTTP status codethat the server responded with.
1071
The size of the server response in bytes
"-"
The HTTP referrer, if set. If none is set, only a hyphen appears here.
"Googlebot/2.1 (+http://www.google.com/bot.html)"
The visitor's User-Agent.
"www.justanexample.de"
The domain accessed by the visitor.

Another example:

10.20.xxx.xxx - -[05/Jun/2017:08:58:44 +0100] "GET /index.html HTTP/1.1" 200 713 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:54.0) Gecko/20100101 Firefox/54.0" "www.justanexample.de"

Here a visitor (IP address shortened) visited your site www.justanexample.de on 05.06.2017 at 08:58. The 713-byte index document (GET /) was successfully displayed (status code 200). Firefox 54.0 on Windows 10 64-bit was used as the browser (user agent).

Error Log

All errors that occur are documented in the error log. These error messages can be errors in PHP or CGI scripts or messages from the webserver itself. The following is an example of a message generated by the webserver:

[Sun Jun 18 12:56:32 2017] [autoindex:error] [pid 31839] [client 66.249.76.156] [host justanexample.de] AH01276: Cannot serve directory /is/htdocs/wp1234567_ABCDEFGHI/www/: No matching DirectoryIndex (index.html,index.htm,index.shtml,index.php,index.php5,index.wml,index.xml) found, and server-generated directory index forbidden by Options directive

The structure of the entry is similar to that of the access log:

[Sun Jun 18 12:56:32 2017]
Time of access
[autoindex:error]
Webserver module where the error occurred. Here for example the "Autoindex" module.
[pid 31839]
The process ID of the webserver process.
[client 66.249.76.156]
The visitor's IP address.
Cannot serve directory /is/htdocs/wp1234567_ABCDEFGHI/www/: No matching DirectoryIndex [...] found,[...]
Error code and error message.

Error messages generated by PHP follow the same scheme. A list of common PHP errors and their causes can be found in the following article: Wie lauten gängige Skript-Fehlermeldungen im Error-Log?

The associated access log entry for the error message mentioned above looks as follows:

66.249.76.156 - - [18/Jun/2017:12:56:32 +0200] "GET / HTTP/1.1" 403 2940 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "justanexample.de"

On Sunday, June 18, 2017 at 12:56 p.m., a visitor with the IP 66.249.76.156 caused an error (status code 403) when calling up the domain justanexample.de. According to the entry in the error log mentioned above, the cause of the error is a missing index document (e.g. an index.php or index.html).

FTP Log

The FTP logs, which you can request via the KIS, are - as can be seen in the following example - much simpler than the webserver logs discussed above:

STOR ftp1234567-user 16 10.20.xxx.xxx [18/Jun/2017:15:00:53 +0200] "/is/htdocs/wp1234567_ABCDEFGHI/www/test/info.php"

The individual fields are as follows:

STOR
The FTP command used. The following commands may appear here:
  • STOR: Upload a file
  • RETR: Download a file
  • DELE: Delete a file
  • MKD: Create a directory
ftp1234567-user
The FTP user used.
16
The size of the file in bytes.
10.20.xxx.xxx
The IP address (abbreviated here) of the PC that performed the action.
[18/Jun/2017:15:00:53 +0200]
Time of access with specification of the time zone.
"/is/htdocs/wp1234567_ABCDEFGHI/www/test/info.php"
The file or directory that was edited

So here it can be said that someone logged on to the server from the IP address 10.20.xxx.xxx with the user name ftp1234567-user and stored the 16-byte file "info.php" on the server.


otto.friedrich@hosteurope.de xanthippe.ypsilante@hosteurope.de hercules.ikarus@hosteurope.de