サーバーの負荷について

Question

お世話になります。

サーバーの負荷が非常に高くなる事がありまして、
恐らくは連続した異常アクセスなどが原因であると思うのですが、
多重アクセス等で負荷をかけているIPアドレスを上手く絞り込む方法は何かないでしょうか。

負荷が高くなった際にサイト事にapacheのアクセスログを見るのですが、
莫大な量のIPアドレスが入り乱れており
どのIPアドレスが負荷になるほどアクセスを送っているのか見極めるのが難しい状況で
何かシェルのコマンドなどで現在、多くのアクセスをしているIPを絞り込む様な事は出来ないでしょうか。

結構、頻繁に発生し、その都度アクセスログを見てわかる場合にはアクセス制限などで対応しておりますが、見てもわからない事の方が多く、確実に特定できるような方法がございましたらご教授いただけますと幸いです。

当方、あまり知識がありませんのでお手数をおかけして申し訳ありませんが、出来る限り詳細にご教授いただけるようでしたらとても助かります。

お手数をおかけしますが何卒よろしくお願い致します。

まーぴー · Accepted Answer

そのサーバーは、私的運用しているものですか？　それとも、既に多くの人（多数のユーザー）が利用しているものですか？
「サーバー負荷」と書かれていますが、それはCPU負荷ですか？　ネットワーク負荷ですか？

（多数のユーザー）が利用しているものと仮定して
CPU負荷が高くなる　　PHPなどのエラーログは見られましたか？　一人のユーザーがPHPの勉強のために設置したプログラムがエラーを多発しながら、無限ループに入っているなど。プログラム内容によりますがサーバー⇔クライアント間での通信量も増大します。

ネットワーク負荷が高くなる　　（単に大勢の人が閲覧している　or　特定のユーザーが負荷をかけている、DoS攻撃を受けている）
No.1さんの回答中にありました

# netstat -t

高負荷のとき、コマンドで接続状況を見るのも良いかと思います。

Apacheの利用は、単にホームページ公開だけですか？　最近ですと、クラウド他の目的では使われていないのでしょうか？

また、メールサーバーやDNSサーバーは起動していないのですか？

スパムメールの踏み台（発信元）になっていたら、/var/spool/mqueue/　の中に多数のファイルが存在します。

一般ユーザーに　.htaccess　を許可していますか？　
<Directory> セクション内に、AllowOverride ディレクティブで設定
AllowOverride All　（全て許可）デフォルト

ユーザーによるメール転送設定　/home/（ユーザー）/ .forwardの記述
\userx, 転送先 ,転送先　　　　\(バックスラッシュ)　が無記述や他の記号になっていませんか？

営利目的のサーバーでなかったら、一時サービスを停止して、Apacheだけでなく、各種ログを見られてはいかがでしょうか？

筋が通らない乱筆になってしまいました。すいません。

かわごえ · Answer

アクセスログの解析は入れてないんですか？
私は昔からAWStatsが好きでずっと利用しています。

lowrider_2005 · Answer

ログ解析ソフトを使って解析をすれば特定はできますが、多くのものはリアルタイム解析はできないですね。
手動でログを切り出して解析かければ「過去数時間の状態をみる」みたいなことはできるとは思います。
あるいは目ぼしいアドレスに当たりをつけて、grep使うとか。
例）grep xxx.xxx.xxx.xxx /var/log/httpd/access.log | wc -l

またはnetstatなどでシステム的にコネクションの状態を見るとかですかね。

でも目的が特定ではなく対策であるなら、mod_dosdetectorとかmod_evasiveなどの導入をしたほうが安眠できるのではないでしょうか。

サーバーの負荷について

そのサーバーは、私的運用しているものですか？ それとも、既に多くの人（多数のユーザー）が利用しているものですか？

アクセスログの解析は入れてないんですか？

ログ解析ソフトを使って解析をすれば特定はできますが、多くのものはリアルタイム解析はできないですね。

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング

そのサーバーは、私的運用しているものですか？　それとも、既に多くの人（多数のユーザー）が利用しているものですか？