Terkadang kita juga ingin tahu ip address siapa saja yang paling banyak akses website kita, hal ini bisa dilihat dari access_log, akan tetapi karena itu log berbentuk raw dan agak sulit untuk dibaca satu per satu. Solusi sederhana kamu bisa menggunakan syntax berikut ini
awk '{print $1, $3}' /usr/local/cpanel/logs/access_log | sort | uniq -c | sort -nr | head -n 20
Code diatas artinya melihat access log pada /usr/local/cpanel/logs/access_log dengan top 20 ip address yang paling banyak akses server kamu.
Hasil yang kamu dapat akan seperti ini
[root@ruby ~]# awk '{print $1, $3}' /usr/local/cpanel/logs/access_log | sort | uniq -c | sort -nr | head -n 20
24720 103.123.98.137 mita.finance%40saranametal.com
21230 - -
19925 127.0.0.1 -
12323 103.36.33.27 kendy.it%40saranametal.com
8936 139.180.154.2 root
8695 139.228.58.17 jeesemco
6818 172.255.125.170 -
5802 66.96.229.230 solusiin
5657 118.99.110.114 skiesyco
5172 123.253.233.33 angkasat
4860 103.123.98.137 dian.finance%40saranametal.com
4683 193.148.16.254 -
4482 103.123.98.137 emma.finance%40saranametal.com
4252 20.58.179.80 -
4117 119.91.96.219 -
3954 61.8.76.42 onpaytec
3915 103.123.98.137 general%40saranametal.com
3577 119.91.96.98 -
3573 20.81.160.105 -
3511 110.137.246.30 city%40bigindo.co.id
Atau cara lain kamu bisa membaca log user cPanel dengan cara sebagai berikut, perhatikan tulisan tebal, sesuaikan dengan username cPanel & path log pada server kamu
[19:51:21 ruby2 root@94396010 ~]cPs# zgrep nassautr /usr/local/cpanel/logs/archive/access_log-12-2021.gz | tail -5
Binary file (standard input) matches
[19:52:03 ruby2 root@94396010 ~]cPs# zgrep -a nassautr /usr/local/cpanel/logs/archive/access_log-12-2021.gz|tail -5
180.214.233.23 - nassautr [12/20/2021:08:09:47 -0000] "GET /cpsess0120855338/execute/Notifications/get_notifications_count HTTP/1.1" 200 0 "https://ruby2.hidden-server.net:2083/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.110 Safari/537.36" "s" "-" 2083
180.214.233.23 - nassautr [12/20/2021:08:09:47 -0000] "POST /cpsess0120855338/execute/Personalization/get HTTP/1.1" 200 0 "https://ruby2.hidden-server.net:2083/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.110 Safari/537.36" "s" "-" 2083
180.214.233.23 - nassautr [12/20/2021:08:09:47 -0000] "POST /cpsess0120855338/execute/Personalization/get HTTP/1.1" 200 0 "https://ruby2.hidden-server.net:2083/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.110 Safari/537.36" "s" "-" 2083
180.214.233.23 - nassautr [12/20/2021:08:09:47 -0000] "POST /cpsess0120855338/execute/Email/list_pops_with_disk HTTP/1.1" 200 0 "https://ruby2.hidden-server.net:2083/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.110 Safari/537.36" "s" "-" 2083
180.214.233.23 - nassautr [12/20/2021:08:09:47 -0000] "POST /cpsess0120855338/execute/ResourceUsage/get_usages HTTP/1.1" 200 0 "https://ruby2.hidden-server.net:2083/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.110 Safari/537.36" "s" "-" 2083
Kesimpulan
Dengan syntax diatas, hal tersebut akan membantu dan menghemat waktu kamu untuk mengetahui ip address mana saja yang sering akses website kamu di suatu server. Jika dirasa salah satu ip tersebut mencurigakan, bisa juga menjadi bahan investigasi lebih dalam apakah mau di blokir atau tidak.