Terkadang kita juga ingin tahu ip address siapa saja yang paling banyak akses website kita, hal ini bisa dilihat dari access_log, akan tetapi karena itu log berbentuk raw dan agak sulit untuk dibaca satu per satu. Solusi sederhana kamu bisa menggunakan syntax berikut ini
awk '{print $1, $3}' /usr/local/cpanel/logs/access_log | sort | uniq -c | sort -nr | head -n 20
Code diatas artinya melihat access log pada /usr/local/cpanel/logs/access_log dengan top 20 ip address yang paling banyak akses server kamu.
Hasil yang kamu dapat akan seperti ini
[root@ruby ~]# awk '{print $1, $3}' /usr/local/cpanel/logs/access_log | sort | uniq -c | sort -nr | head -n 2024720 103.123.98.137 mita.finance%40saranametal.com21230 - -19925 127.0.0.1 -12323 103.36.33.27 kendy.it%40saranametal.com8936 139.180.154.2 root8695 139.228.58.17 jeesemco6818 172.255.125.170 -5802 66.96.229.230 solusiin5657 118.99.110.114 skiesyco5172 123.253.233.33 angkasat4860 103.123.98.137 dian.finance%40saranametal.com4683 193.148.16.254 -4482 103.123.98.137 emma.finance%40saranametal.com4252 20.58.179.80 -4117 119.91.96.219 -3954 61.8.76.42 onpaytec3915 103.123.98.137 general%40saranametal.com3577 119.91.96.98 -3573 20.81.160.105 -3511 110.137.246.30 city%40bigindo.co.id
Atau cara lain kamu bisa membaca log user cPanel dengan cara sebagai berikut, perhatikan tulisan tebal, sesuaikan dengan username cPanel & path log pada server kamu
[19:51:21 ruby2 root@94396010 ~]cPs# zgrep nassautr /usr/local/cpanel/logs/archive/access_log-12-2021.gz | tail -5
Binary file (standard input) matches[19:52:03 ruby2 root@94396010 ~]cPs# zgrep -a nassautr /usr/local/cpanel/logs/archive/access_log-12-2021.gz|tail -5180.214.233.23 - nassautr [12/20/2021:08:09:47 -0000] "GET /cpsess0120855338/execute/Notifications/get_notifications_count HTTP/1.1" 200 0 "https://ruby2.hidden-server.net:2083/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.110 Safari/537.36" "s" "-" 2083180.214.233.23 - nassautr [12/20/2021:08:09:47 -0000] "POST /cpsess0120855338/execute/Personalization/get HTTP/1.1" 200 0 "https://ruby2.hidden-server.net:2083/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.110 Safari/537.36" "s" "-" 2083180.214.233.23 - nassautr [12/20/2021:08:09:47 -0000] "POST /cpsess0120855338/execute/Personalization/get HTTP/1.1" 200 0 "https://ruby2.hidden-server.net:2083/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.110 Safari/537.36" "s" "-" 2083180.214.233.23 - nassautr [12/20/2021:08:09:47 -0000] "POST /cpsess0120855338/execute/Email/list_pops_with_disk HTTP/1.1" 200 0 "https://ruby2.hidden-server.net:2083/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.110 Safari/537.36" "s" "-" 2083180.214.233.23 - nassautr [12/20/2021:08:09:47 -0000] "POST /cpsess0120855338/execute/ResourceUsage/get_usages HTTP/1.1" 200 0 "https://ruby2.hidden-server.net:2083/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.110 Safari/537.36" "s" "-" 2083
Kesimpulan
Dengan syntax diatas, hal tersebut akan membantu dan menghemat waktu kamu untuk mengetahui ip address mana saja yang sering akses website kamu di suatu server. Jika dirasa salah satu ip tersebut mencurigakan, bisa juga menjadi bahan investigasi lebih dalam apakah mau di blokir atau tidak.
