<-
Apache > Serveur HTTP > Documentation > Version 2.4 > Modules

Module Apache mod_log_forensic

Langues Disponibles:  en  |  fr  |  ja  |  tr 

Description:Journalisation l�gale des requ�tes envoy�es au serveur
Statut:Extension
Identificateur�de�Module:log_forensic_module
Fichier�Source:mod_log_forensic.c
Compatibilit�:mod_unique_id n'est plus obligatoire depuis la version 2.1

Sommaire

Ce module permet la journalisation l�gale des requ�tes client. La journalisation s'effectuant avant et apr�s le traitement de la requ�te, le journal l�gal contient deux lignes pour chaque requ�te. Le processus de journalisation l�gale est tr�s strict, � savoir :

Pour interpr�ter les donn�es du journal l�gal, vous pouvez vous aider du script check_forensic qui se trouve dans le r�pertoire support de la distribution.

Note de traduction : le terme "l�gal" utilis� dans le pr�sent document ne sugg�re aucunement que ce module apporte une valeur juridique aux journaux. Il est � comprendre dans le contexte similaire � ce que l'on trouve en analyse medico-l�gale. En d'autres termes, la finalit� de ce module est de simplifier les op�rations d'investigation autour du traitement des requ�tes par le serveur.

Directives

Sujets

Voir aussi

top

Format du journal Forensic

Chaque requ�te fait l'objet d'une double journalisation. La requ�te est journalis�e une premi�re fois avant son traitement (c'est � dire apr�s la r�ception des en-t�tes). La deuxi�me entr�e du journal est �crite apr�s le traitement de la requ�te, en fait au moment de la journalisation habituelle.

Un identifiant unique est attribu� � chaque requ�te afin de pouvoir l'identifier. Cette identifiant l�gal peut faire l'objet d'un enregistrement dans le journal standard en utilisant l'�l�ment de cha�ne de format %{forensic-id}n. Si vous utilisez mod_unique_id, c'est l'identifiant qu'il g�n�re qui sera utilis�.

La premi�re partie de la journalisation de la requ�te enregistre l'identifiant l�gal, la ligne de la requ�te et tous les en-t�tes re�us s�par�s par des caract�res pipe (|). Voici � titre d'exemple � quoi pourrait ressembler une telle entr�e (tout �tant rassembl� sur une seule ligne) :

+yQtJf8CoAB4AAFNXBIEAAAAA|GET /manual/de/images/down.gif HTTP/1.1|Host:localhost%3a8080|User-Agent:Mozilla/5.0 (X11; U; Linux i686; en-US; rv%3a1.6) Gecko/20040216 Firefox/0.8|Accept:image/png, etc...

Le caract�re plus ('+') de d�but indique qu'il s'agit de la premi�re entr�e de journal pour cette requ�te. La seconde entr�e ne contiendra qu'un caract�re moins ('-') suivi de l'identifiant :

-yQtJf8CoAB4AAFNXBIEAAAAA

Le script check_forensic prend comme argument le nom du fichier journal. Il recherche ces paires d'identifiants +/- et affiche un message d'erreur si la journalisation d'une requ�te n'est pas compl�te.

top

Consid�rations � propos de s�curit�

Voir le document conseils en mati�re de s�curit� pour des d�tails sur les raisons pour lesquelles votre s�curit� pourrait �tre compromise si le r�pertoire dans lequel les fichiers journaux sont stock�s sont inscriptibles par tout autre utilisateur que celui qui d�marre le serveur.

Les fichiers journaux peuvent contenir des donn�es sensibles comme le contenu des en-t�tes Authorization: (qui peuvent contenir des mots de passe) ; ils ne doivent donc �tre lisibles que par l'utilisateur qui d�marre le serveur.

top

ForensicLog Directive

Description:D�finit le nom de fichier du journal l�gal
Syntaxe:ForensicLog nom-fichier|pipe
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_log_forensic

La directive ForensicLog permet de contr�ler la journalisation des requ�tes � des fins d'analyse l�gale. Chaque entr�e du journal se voit assigner un identifiant unique qui peut �tre associ� � la requ�te en utilisant la directive CustomLog habituelle. mod_log_forensic cr�e un �l�ment nomm� forensic-id, qui peut �tre ajout� au journal standard en utilisant l'�l�ment de format %{forensic-id}n.

L'argument, qui permet de sp�cifier l'emplacement vers lequel le journal l�gal sera �crit, peut contenir les deux types de valeurs suivants :

nom-fichier
Un nom de fichier relatif au r�pertoire d�fini par la directive ServerRoot.
pipe
Le caract�re pipe "|", suivi du chemin vers un programme qui recevra les informations de la journalisation sur son entr�e standard. Le nom du programme peut �tre relatif au r�pertoire d�fini par la directive ServerRoot.

S�curit� :

Si les journaux sont redirig�s vers un programme, ce dernier s'ex�cutera sous l'utilisateur qui a d�marr� httpd. Ce sera l'utilisateur root si le serveur a �t� d�marr� par root ; v�rifiez que le programme est s�curis� ou passe sous le contr�le d'un utilisateur poss�dant des droits restreints.

Note

Lors de la sp�cification d'un chemin de fichier sur les plate-formes non-Unix, il faut prendre soin de ne pas oublier que seuls les slashes directs doivent �tre utilis�s, m�me si la plate-forme autorise l'emploi d'anti-slashes. D'une mani�re g�n�rale, c'est une bonne id�e que de n'utiliser que des slashes directs dans les fichiers de configuration.

Langues Disponibles:  en  |  fr  |  ja  |  tr 

top

Commentaires

Notice:
This is not a Q&A section. Comments placed here should be pointed towards suggestions on improving the documentation or server, and may be removed again by our moderators if they are either implemented or considered invalid/off-topic. Questions on how to manage the Apache HTTP Server should be directed at either our IRC channel, #httpd, on Freenode, or sent to our mailing lists.