根据nagios的日志分析用户的行为

公司的监控系统使用的nagios,而外网访问nagios使用的域名形式。内网使用nginx进行反向代理到nagios所在的服务器。

Nginx的反向代理与域名配置如下:

[root@lzmail vhosts]# more test.ilanni.com.conf

server

{

listen 80;

server_name test.ilanni.com;

index index.html index.htm index.php index.cgi;

location /nagios{

proxy_pass http://192.168.0.1:81/nagios/;

}

proxy_set_header X-Real-IP $remote_addr;

proxy_set_header REMOTE-HOST $remote_addr;

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

access_log /var/log/test.ilanni.com.log main;

}

今天没事就看看nagios日志记录相关的信息,分析用户的行为。

我们可以通过tail –f /var/log/test.ilanni.com动态分析。

根据nagios的日志分析用户的行为

120.204.200.21 – – [07/Jun/2014:17:21:17 +0800] GET / HTTP/1.1 “200” 555 “-” “DNSPod-Monitor/1.0” “-”

120.204.200.21 – – [07/Jun/2014:17:21:17 +0800] GET / HTTP/1.1 “200” 555 “-” “DNSPod-Monitor/1.0” “-”

101.71.38.76 – nagiosadmin [07/Jun/2014:17:21:26 +0800] GET /nagios/cgi-bin/extinfo.cgi?type=2&host=gs_1.11mail&service=check_cpu HTTP/1.1 “200” 2709 “-” “Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; WOW64; Trident/6.0)” “-”

101.71.37.62 – nagiosadmin [07/Jun/2014:17:21:26 +0800] GET /nagios/stylesheets/common.css HTTP/1.1 “304” 0 “http://test.ilanni.com/nagios/cgi-bin/extinfo.cgi?type=2&host=gs_1.11mail&service=check_cpu” “Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; WOW64; Trident/6.0)” “-“

以上是这个日志的其中一条记录。

101.71.37.62记录的访问者的IP地址,这个是通过nginx的反向代理配置中的proxy_set_header X-Real-IP $remote_addr;获得。

Nagiosadmin记录的是远程用户。

这个IP地址其实我自己,而我目前访问的网页是nagios监控一个主机的CPU项目,如下:

根据nagios的日志分析用户的行为

GET /nagios/stylesheets/common.css HTTP/1.1 “304” 0 “http://test.ilanni.com/nagios/cgi-bin/extinfo.cgi?type=2&host=gs_1.11mail&service=check_cpu

这个记录的是用户正在访问的网页。对比我上边的访问网页截图,很容易能看到我访问的确实是主机192.168.1.11的CPU监控项。

继续向下看:

Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; WOW64; Trident/6.0)

这个记录的是访问者浏览器及操作系统的相关信息。

其中MSIE 10表示通过IE 10进行访问的。这个和我本机的IE 10刚好相符,如下:

根据nagios的日志分析用户的行为

Windows NT 6.2表示访问者使用的是OS版本,NT6.2是win8系统。

而我的本本确实是win8系统,内核版本确实是NT 6.2,如下图:

根据nagios的日志分析用户的行为

WOW64表示OS是64bit系统,本本的系统版本如下图:

根据nagios的日志分析用户的行为

通过上述分析,我们可以得到如下的信息:

Nagiosadmin用户使用win8 64bit系统通过IE10浏览器正在访问nagios的一个check_cpu监控项目。

上一篇:【CDN 最佳实践】CDN访问异常排查思路


下一篇:【视频点播最佳实践】视频点播播放异常排查