我的 tomcat 访问日志的最后一个字段为“%D - 处理请求所用的时间,以毫秒为单位”。我正在尝试过滤花费超过几毫秒的日志,但结果显示所有日志,我正在尝试按照 lucene“范围搜索” http://lucene.apache.org/core/2_9_4 /queryparsersyntax.html
尝试以下过滤器查询: timetaken: [1000 TO *] timetaken: [1000 TO 5000] timetaken: ['1000' TO *]
我的要求是:
- 在 apache 级别阻止可疑的 IP 地址,我有一个包含数百万或带有 cidr 的 IP 地址的列表。
- 如果被阻止的 ip 访问该站点,那么他们应该会收到一些消息说他们被阻止(我可以使用 ErrorDocument)
- 记录所有被阻止的人(403 错误文档将重定向到另一个页面并检查对该页面的点击)
Apache 服务器在亚马逊 EC2 上的 elb 后面,所以我必须检查 X-Forwarded-For,在下面的配置中“SetEnvIf CLIENTIP”192.168.1.0/24“块”不起作用,看起来它需要 ip 地址而不是 cidr ,有什么办法可以阻止我拥有的数百万个 cidr 范围的点击?
SetEnvIf REMOTE_ADDR "(.+)" CLIENTIP=$1
SetEnvIf X-Forwarded-For "^([0-9.]+)" CLIENTIP=$1
SetEnvIf CLIENTIP "192.168.1.0/24" block # this doesnt work
SetEnvIf CLIENTIP "192.168.1.5" block # this works
Order allow,deny
Allow from all
Deny from env=block
以下 tomcat 访问日志的 AStats 日志格式应该是什么?
我尝试了这些格式,但外部 IP 地址没有进入 AStats 报告。
LogFormat="%host %other %logname %time1 %methodurl %code %bytesd %refererquot %uaquot %referer %other %other"
LogFormat="%other %other %logname %time1 %methodurl %code %bytesd %refererquot %uaquot %host_proxy"
tomcat阀门设置:
pattern="%h %l %{USER_ID}s %t "%r" %s %b "%{Referer}i" "%{User-Agent}i" "X-Forwarded-For=%{X-Forwarded-For}i" "JSESSIONID=%{JSESSIONID}c" %D"
日志条目:
127.0.0.1 - - [04/Nov/2013:13:39:55 +0000] "GET / HTTP/1.1" 200 12345 "https://www.google.com/url?some_url" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/30.0.1599.101 Safari/537.36" "X-Forwarded-For=real_ip, proxy_server_internal_ip" "JSESSIONID=-" 12345