{"id":22272,"date":"2026-02-03T21:58:18","date_gmt":"2026-02-03T20:58:18","guid":{"rendered":"https:\/\/linux-bibel.at\/?p=22272"},"modified":"2026-02-03T21:58:18","modified_gmt":"2026-02-03T20:58:18","slug":"das-web-log","status":"publish","type":"post","link":"https:\/\/linux-bibel.at\/index.php\/2026\/02\/03\/das-web-log\/","title":{"rendered":"Das Web-log"},"content":{"rendered":"\r\n

Heute wollen wir uns ein bisschen mit dem WWW-Server<\/a>n befassen. Man möchte doch wissen, wer greift auf den Server<\/a> zu und welche Seiten sind von besonderem Interesse.<\/p>\r\n\r\n\r\n\r\n

Nun jeder WWW-Server<\/a> speichert alle Zugriffe und diese kann man auswerten. Ich nehme jetzt den Apache-Server<\/a> als Beispiel heraus.Alle anderen speichern<\/a> diese Daten<\/a> ähnlich, selbst der MS-IIS.<\/p>\r\n\r\n\r\n\r\n

Und damit sollten wir ein paar Begriffe kennen.<\/h1>\r\n\r\n\r\n\r\n

Der Hit<\/h2>\r\n\r\n\r\n\r\n

Jedes Element das vom Server<\/a> geladen wir, wird als Hit bezeichnet. Eine HTML-Seite ist ein HIT, ein Bild ist auch ein Hit und auch eine Javascript<\/a>-Datei<\/a> oder CSS-Datei<\/a> wird als Hit gespeichert. Auch Hintergrund-Musik wird als Hit bewertet. Man kann ihn also mit einem URL gleichsetzen. Jeder Hit bedingt auch einen URL.  Auch die Bilder einer Webseite sind wiederum Hits.<\/p>\r\n\r\n\r\n\r\n

Die Page<\/h2>\r\n\r\n\r\n\r\n

Damit wird eine zusammengehörige Menge an Hits bezeichnet. Also das, was man so salopp gesagt lesen kann. <\/p>\r\n\r\n\r\n\r\n

Der Request-Typ<\/h2>\r\n\r\n\r\n\r\n

Hier wird angegeben, wie dieser Request abgearbeitet werden soll. Die bekanntesten sind GET und POST. Daneben gibt es noch PUT, DELETE und HEAD und noch ein paar weitere. Wer diese  genau wissen will, der muss den RFC<\/a> lesen. Ich möchte an der Stelle nicht ins HTTP-Protokoll tiefer eingehen.<\/p>\r\n\r\n\r\n\r\n

Der Referer <\/h2>\r\n\r\n\r\n\r\n

In diesem Feld wird der Quell-Url gespeichert. Also jene Adresse von der aus der Hit auffordert wurde. Das kann durchaus ein anderer sein. <\/p>\r\n\r\n\r\n\r\n

Das response-code<\/h2>\r\n\r\n\r\n\r\n

Hier ist der Status, wie dieser Request abgehandelt wurde. wichtig sind die 2xx, 3xx, 4xx und 5xx Codes.
5xx Codes deuten auf einen Server<\/a>fehler hin (z.B. zu wenige Resourcen) . 4xx auf einen Handlingsfehler (Seite nicht gefunden, Anmeldug erforderlich). 2xx und 3xx sind Statusmeldungen.<\/p>\r\n

 <\/p>\r\n

\r\n\r\n<\/p>\r\n

Die Zeile in der Logdatei<\/h1>\r\n

\r\n\r\n<\/p>\r\n

Eine solche Zeile schaut jetzt folgendermaßen aus.<\/p>\r\n

::1 – – [11\/Jan\/2026:18:17:08 +0100] „GET \/cgi-bin\/awstats.pl?databasebreak=hour&month=01&year=2026&config=localhost<\/a>&fram<\/a>ename=mainright HTTP\/1.1“ 200 5689 „http:\/\/localhost<\/a>\/cgi-bin\/awstats.pl?databasebreak=hour&month=01&year=2026&output=osdetail&config=localhost<\/a>&fram<\/a>ename=mainleft“ „Mozilla\/5.0 (X11<\/a>; Linux<\/a> x86_64) AppleWebKi<\/a>t\/537.36 (KHTML, like Gecko) Chrome\/143.0.0.0 Safari\/537.36“<\/p>\r\n

 <\/p>\r\n

Ihr findet die Beschreibung der einzelnen Felder und ihre Bedeutung unter diesem Link https:\/\/httpd.apache.org\/docs\/2.4\/logs.html  Ich möchte auf die Besonderheiten der Informationen eingehen und was man beim Auswerten beachten sollte. <\/p>\r\n

\r\n\r\n<\/p>\r\n

 <\/p>\r\n

\r\n\r\n<\/p>\r\n

Wer viel misst, misst viel Mist.<\/h1>\r\n

\r\n\r\n<\/p>\r\n

Die IP-Adresse<\/a> <\/span> „<\/span>::1″<\/span><\/p>\r\n

\r\n\r\n<\/p>\r\n

 <\/p>\r\n

\r\n\r\n<\/p>\r\n

Die IP-Adresse<\/a> oder der DNS-Name der hier gespeichert wird, ist die des letzten Absenders. Das muss nicht der Cli<\/a>ent sein. Es kann auch eine Firewall, ein Router<\/a> oder ein NAT sein. Mit . getrennt deuten auf eine IPv4 Adresse. Ein : ist ein Zeichen für eine IPv6 Adresse. Dieses Feld wird gerne in den Auswertungen für „unterschiedliche Benutzer“ herangezogen. Bedenkt, dass es nur bedingt richtig sein kann. Ihr alle habt wahrscheinlich einen Router<\/a>\/Access Point zu Hause. Wenn Ihr über diesen Access-Point ins Internet geht, dann sieht der Server<\/a> nur die IP-Adresse<\/a> des Router<\/a>s nicht aber die eigentliche des Endgerätes. Der Server<\/a> kann damit nicht unterscheiden ob, ihr vom Handy oder vom PC surft. Dies gilt sinngemäß auch für SSL-Verbindungen. Allerdings in einem kleinerem Umfeld.  <\/p>\r\n

\r\n\r\n<\/p>\r\n

 <\/p>\r\n

\r\n\r\n<\/p>\r\n

der User<\/h2>\r\n

\r\n\r\n<\/p>\r\n

 <\/p>\r\n

\r\n\r\n<\/p>\r\n

Diese nächsten 2 Felder sind für die Identifizierung des Benutzers vorgesehen. Wobei das Feld 3 für die HTML-Identifizierung genutzt wird. Wir kommen später noch auf das Feld bei der „Anmeldung“ zu sprechen.<\/p>\r\n

\r\n\r\n<\/p>\r\n

der Request URL „GET \/cgi-bin „<\/h2>\r\n

\r\n\r\n<\/p>\r\n

\r\n\r\n<\/p>\r\n

im URL Feld findest ihr neben den Typ auch den eigentlichem Url  „\/cgi-bin\/awstats.pl“ dann ein ? und diverse Begriff-Wert Paare getrennt durch ein &. Den Abschluss macht die Version des HTTP-Protokolls. In meinem Fall 1.1. Möglich wären noch 1,0 und 2.0.  Der URL \/cgi-bin sagt nichts über den wirklichen Platz auf der Platte aus. Wer ein Verzeichnis<\/a> \/cgi-bin bei mir sucht, wird enttäuscht sein. Es ist ein Konfiguration<\/a>sparam<\/a>eter des Apache.  Ich könnte jetzt eine zweite Seite nennen wir sie index.html auf den gleichen Path legen. und den Apache anweisen index.html meldest du mit \/cgi-bin\/index.html.   

In meinem Fall wird ein Program<\/a>m aufgerufen das Program<\/a>m awstats.pl.  Awstats.pl ist ein Web-Logdatei<\/a>en Auswertungsprogram<\/a>m; in Perl geschrieben.  Das Program<\/a>m soll den Jänner 2026  auswerten.<\/p>\r\n

\r\n\r\n<\/p>\r\n

Der Response Code <\/h2>\r\n

\r\n\r\n<\/p>\r\n

sagt aus wie der Request abgearbeitet wurde. 200 ist der OK Status. 303 wäre nicht verändert oder 404 Datei<\/a> nicht gefunden. Die 5xx wäre ein Server<\/a>-Problem. Auch diese sind im RFC<\/a> beschrieben. <\/p>\r\n

\r\n\r\n<\/p>\r\n

der User-Agent<\/h2>\r\n

\r\n\r\n<\/p>\r\n

dieses Feld ist vorgesehen um Browser spezifische Unterscheidungen, durch zuführen. Zu Beginn des WWW haben sich die Firmen Netscape und Microsoft eine Schlacht um die Marktanteile geliefert. Irgendwan<\/a>n gab Netscape auf und machte ein Open-Source-Projekt daraus. Heute findet man den Netscape-Nachfolger und die gebräuchlichsten Browser . Ggf sind hier auch Informationen über das Betriebssystem<\/a> gespeichert. In meinem Bespiel X11<\/a> und Linux<\/a> auf 64Bit x86 \ud83d\ude09<\/p>\r\n

\r\n\r\n<\/p>\r\n

der Benutzer<\/h2>\r\n

\r\n\r\n<\/p>\r\n

Diese Informationen stehen uns zur Verfügung. Zusätzlich, KANN uns noch ein User(name) mitgespeichert werden. Defaultmäßig wird nur der HTTP-User im Log gespeichert. Login<\/a>verfahren die über Cooki<\/a>es, Request-ID oder ähnlichem arbeiten, werden nicht protokolliert. Weil somit nur die IP-Adresse<\/a> als Unterscheidungsmerkmal zur Verfügung steht, sind die Werte über die Benutzeranzahl mit Vorsicht zu behandeln.

So wird das Log aufgebaut und diese Daten<\/a> sind gespeichert. Nun geht es an das Auswerten.<\/p>\r\n

\r\n\r\n<\/p>\r\n

Das Log-File<\/h1>\r\n

\r\n\r\n<\/p>\r\n

Bei den beiden wichtigsten Server<\/a>n Apache und NGINX wird eine Textdatei<\/a> angelegt. Wir bleiben bei Apache und Debian<\/a> und finden unser Log unter \/var\/log\/apache\/access.log. Dort wird es standardmäßig angelegt und in regelmäßigen Abständen getauscht und gezipped.<\/p>\r\n

\r\n\r\n<\/p>\r\n

Die Anmeldung <\/h1>\r\n

Es gibt mehrere Möglichkeiten, wie ich einen User identifizieren kann. Die Einfachste ist über eine „passwd“- Datei<\/a> und eine Rule in der Apache-Config, dass ein bestimmter Bereich nur von einer Gruppe oder einzelnen User gelesen werden darf. Dabei wird bei jedem Request der User und das Passwort gesendet. Das Ganze wird noch mit dem alten Befehl<\/a> md5 Verfahren gesichert. Einfach und schnell aber knackbar in Sekunden. <\/p>\r\n

Ein bisschen besser wird es wenn man auf „digit<\/a>“ umstellt.
Aber wenn ich diesen Teil des Fram<\/a>e habe, kann ich ihn von einem anderem Gerät senden und bin angemeldet. Bei diesem Verfahren ändern sich die Werte nur wenn sich das Passwort ändert, also nie.  <\/p>\r\n

Dazu kommt, das große Sites, die über viele Server<\/a> gehen, immer den gesamten Uservorrat speichern<\/a> müssen. <\/p>\r\n

Also hat man sich eine andere Anmeldeform überlegt. Und da kamen cooki<\/a>es und SessionID ins Spiel, ein Server<\/a> erzeugt aus User und Passwort eine Prüfsumme den Token oder SessionID und sendet diese an den Cli<\/a>ent. Bei jedem weiteren Request wird dieser Wert mitgesendet und der\/die Server<\/a> können, es abprüfen und entsprechend reagieren.  Cooki<\/a>es haben den Nachteil, dass sie nur auf eine bestimmte Gruppe von Server<\/a>n funktionen (Domain-Cooki<\/a>e). <\/p>\r\n

Wenn man Kerberos mit der Lösung dieses Problems vertraut, dann kommt die SessionID zum Tragen. Bei der Anmeldung wird ein Token erstellt, der als SessionID gespeichert wird. Diese ID kann auch an andere Server<\/a> weitergegeben werden und wird gegengecheckt. Nachteil: Ich brauche eine vernünftige Infrastruktur.    Sicherungsmechanismen wie „Salt and Pepper“ sind implementierbar und auch Zertifikate kann ich verwenden. <\/p>\r\n

Was ich noch kurz mitteilen möchte ist, dass diese Daten<\/a> im verschlüsseltem HTML-Teil übertragen werden, Also bei HTTPS nicht einsehbar sind. <\/p>\r\n

 <\/p>\r\n

\r\n\r\n<\/p>\r\n

WWW-Auswertungsprogramme<\/h1>\r\n

\r\n\r\n<\/p>\r\n

\r\n\r\n<\/p>\r\n

\r\n\r\n<\/p>\r\n

Das Auswertungsprogramm AWSTAT<\/h2>\r\n

\r\n\r\n<\/p>\r\n

 <\/p>\r\n

\r\n\r\n<\/p>\r\n

\"\"<\/p>\r\n

\r\n\r\n<\/p>\r\n

Die Auswertung umfasst neben Tage, Monate, Besuche, Einstiegseiten, Ipadressen und Ausstiegsseiten auch Pages und Hits. Besonders die Auswertung auf Fehlercodes bringt so einiges an Versuchen von bösen Jungs zum Vorschein.  <\/p>\r\n

Das 2. Program<\/a>m, dass ich euch vorstellen möchte heißt<\/p>\r\n

\r\n\r\n<\/p>\r\n

Das Programm webalizer<\/h2>\r\n

\r\n\r\n<\/p>\r\n

und ist ein C-Program<\/a>m. Es liegt in lauffähiger Form und im C-Code vor und kann von Heise geladen werden. https:\/\/www.heise.de\/download\/product\/webalizer-2038<\/a> . Das Program<\/a>m wird nicht mehr weiterentwickelt. Es gibt allerdings 2 Nachfolge-Projekte, die auch im Stocken sind. Der Leistungsumfang ist ähnlich. <\/p>\r\n

\r\n\r\n<\/p>\r\n

\"\"<\/p>\r\n

\r\n\r\n<\/p>\r\n

Trotzdem sind beide Program<\/a>me noch benutzbar und liefern wichtige Informationen über die Nutzung eures Server<\/a>s. <\/p>\r\n

Webalizer wird entpackt und liegt dann kompiliert vor. Es empfiehlt sich, vor dem ersten Start nochmals in die Config-Datei<\/a> zu schauen. Und die Verzeichnis<\/a>se bzw den Leistungsumfang anzupassen.  <\/p>\r\n

\r\n\r\n<\/p>\r\n

 <\/p>\r\n

\r\n\r\n<\/p>\r\n

 <\/p>\r\n

\r\n\r\n<\/p>\r\n

 <\/p>\r\n

<\/p>

\r\n
\r\n \r\n \"Gef\u00e4llt\r\n <\/a>\r\n 3 <\/span>\r\n<\/div>
\r\n \r\n \"Gef\u00e4llt\r\n <\/a>\r\n <\/span>\r\n<\/div><\/div>","protected":false},"excerpt":{"rendered":"

Heute wollen wir uns ein bisschen mit dem WWW-Servern befassen. Man m\u00f6chte doch wissen, wer greift auf den Server zu und welche Seiten sind von besonderem Interesse. Nun jeder WWW-Server speichert alle Zugriffe und diese kann man auswerten. Ich nehme jetzt den Apache-Server als Beispiel heraus.Alle anderen speichern diese Daten \u00e4hnlich, selbst der MS-IIS. Und […]<\/p>\n","protected":false},"author":52,"featured_media":22458,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1,1443,38],"tags":[],"class_list":["post-22272","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-allgemein","category-grundlagen","category-netzwerk"],"_links":{"self":[{"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/posts\/22272","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/users\/52"}],"replies":[{"embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/comments?post=22272"}],"version-history":[{"count":22,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/posts\/22272\/revisions"}],"predecessor-version":[{"id":22459,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/posts\/22272\/revisions\/22459"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/media\/22458"}],"wp:attachment":[{"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/media?parent=22272"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/categories?post=22272"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/tags?post=22272"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}