Webstation Logfiles - kein APP für Besucher-Statistik? AWstats für NGINX oder Apache?

[Hruendel]

Hallo,

suche nach einer Lösung für Besucherstatistik für die Webstation. Mich wundert es, dass die Logfiles per default deaktiviert sind und nur durch Eingriffe über SSH aktivierbar. Dass es kein APP gibt um Besucherstatistik auszuwerten?! Früher gab es wenigstens Webalizer. Auf meiner alten DS215j (Umzug von DS210J) lief es irgendwie ohne großen Aufwand. Nun habe ich DS220+ und jetzt ist keine Auswertung mehr möglich. Was für ein Schwachsinn Logfiles auszustellen. Hätten wenigstens im DSM aktivierbar machen können. Ich verstehe, dass es viel Datenmüll entsteht wenn man Logfiles einschaltet. Aber komplett darauf zu verzichten? Habe versucht im Protokoll-Center etwas zu finden - Fehlanzeige!
NGINX Error-Logs liegen dort wo man ohne SSH nicht ran kommt!? Sehr sinnvoll!

Hat jemand Erfahrung damit?

Natürlich kann man Matomo und Co. installieren. Nur die Dateizugriffe werden damit nicht geloggt. Mich interessieren Häckerangrife, Cravler, Aufruf von nicht existierenden Dateien, PHP-Fehler usw. Webstation bzw. Virtual-Hosts laufen mit NGINX. Ich kann aber auch auf Apache umstellen.

So etwas wie AWstats würde vollkommen reichen. Geht das eventuell über Packetqellen?

 

[Ulfhednir]

Natürlich kann man Matomo und Co. installieren. Nur die Dateizugriffe werden damit nicht geloggt. Mich interessieren Häckerangrife, Cravler, Aufruf von nicht existierenden Dateien, PHP-Fehler usw. Webstation bzw. Virtual-Hosts laufen mit NGINX. Ich kann aber auch auf Apache umstellen.

Wenn dich Hääckerangriffe interessieren, solltest du wohlmöglich eine Schicht vorher damit beginnen. Stichwort: (Hardware)-Firewall.
Unabhängig davon, könnte ich dir jetzt allenfalls empfehlen einen "echten" Nginx (SWAG) über Docker zu installieren. Der Proxy der Synology ist stark abgespeckt.

 

[Hruendel]

Hardware-Firewall (OPNSense) habe ich schon probiert. Ist etwas zu viel des Guten. Obwohl ich überlege zu OPNSense zurück zu kehren. Zusätzlicher Rechner verbraucht mehr als die Diskstation. Außedem PF-/OPNSense setzt auch auf NGINX-Firewall. Also - gehüpft wie gesprungen plus mehr Stromverbrauch.

Habe im Moment so gelöst, dass ich die Errorfiles von NGINX von /schieß/mich/tot mit Aufgabenplaner (cronjob) in lesbares Verzeichnis kopiere. Musste also nicht an dem OS herumfummeln. Es kommt wohl Matomo und / eventuell / oder OPNSense dazu.

DS1621+ und co. waren mir etwas zu teuer, deswegen habe ich zu wenig LAN-Schnittstellen an der DS920+. Sonst hätte alles in VM machen können.

Aber - weniger ist mehr! Man muss alles verwalten. Und das sollte nicht den Zweck übertreffen. Dafür habe ich gelernt PHP-Anwendung aus meiner Sicht halbwegs sicher zu schreiben. Hoffe das das reicht.

Danke für die Tipps!

 

[et.dima]

Mich interessiert selbes.. mir geht es rein um die Erfassung von Web-Zugriffen und würde hier gerne Google-Analytik integrieren.

 

[Ulfhednir]

Die Möglichkeiten sind begrenzt. Du kannst zwar HTML in der Fußzeile verarbeiten, allerdings wird auch das Einbinden von externen Bildern blockiert bzw. mit einem Fehler im Browser quittiert:

Content Security Policy: Die Einstellungen der Seite haben das Laden einer Ressource auf XYZ blockiert ("img-src").

Aus meiner Sicht bleibt die einzige Möglichkeit weiterhin die Verwendung eines Reverse-Proxies und Auswertung des dazugehörigen Logs.

 

[et.dima]

Ich habe gerade selbst mal einen MATOMO Bild Tracker Code eingetragen.. wie du sagst, er wird nicht wirklich ausgeführt.

Anderer Gedanke.. man kann ja ein Logo einbauen.. dort schon wer versucht einen Code rein zu packen?
Ich kenne mich nicht wirklich damit aus, aber geht das ggf. das man den Tracking-Code in eine 1x1 px Grafikdatei packt und ihn so arbeiten läßt

Ach man.. ich will doch einfach nur eine Besucher-Analyse zur Hand haben..

 

[Ulfhednir]

Ich kenne mich nicht wirklich damit aus, aber geht das ggf. das man den Tracking-Code in eine 1x1 px Grafikdatei packt und ihn so arbeiten läßt

Das fällt wohl eher unter dem Aspekt Exploits, z.B.
https://www.f-secure.com/v-descs/exploit_w32_jpg_vulnerability.shtml

und hat nichts mit einer ernsthaften Lösung gemein. Neben dem Auswerten des Nginx-Protokolls, könntest du auch das Protokollcenter verwenden.
Das loggt zumindest erfolgreiche und fehlerhafte Zugriffe. Wenn der User allerdings angemeldet bleibt, die Session also länger aktiv ist, wirst du keinen beim nächsten Seitenaufruf keinen Log vorfinden. Nächste Option: Du verwendest einen Url-Shortener. Wobei auch dieser seine Schwächen hat.

 

[et.dima]

Exploits möchte ich anbei natürlich nicht weiter verfolgen, es war ein Gedankengang, nicht mehr!
Das Protokollcenter erfüllt hier seinen Zweck, zur Besucher-Statistik kann es allerdings nicht dienen.

Ich dachte wirklich an eine Integration in den Code der eigentlichen Webseite, so wie es auch mit bzw. über das Management der DS möglich ist, seine Anmeldeseite bedingt zu gestallten, was ja leider oder auch "zum Guten" nicht möglich ist.

Scheint so als wären erstere Ideen nicht oder nicht ohne EXP möglich, also geht es ggf. in dem ich direkt auf den Code mit einem Editor zugreife und so meine Erweiterung in den Header einpflege? Und oder was haben wir denn für Möglichkeiten.. ich möchte ja lediglich eine nützliche Funktion integrieren. Jeder Web-Seiten Betreiber versucht sich ein Bild über seine Aufrufe zu machen, was ja nichts verwerfliches ist, solange es für die eigne Information und ggf. benötigen Schutz geht.

 

[Ulfhednir]

Wo die DSM-"Index"-Files liegen und ob du hier überhaupt rankommst, kann ich dir nicht verraten. Da solltest du dann wohl den offiziellen Support befragen oder ggf. einfach ein Feature-Request stellen. Bei letzterem würde ich mir nicht all zu viel Hoffnung machen.

 

[Philipp06]

DSM-"Index"-Files

Diese müssten irgendwo unter /usr/share liegen. Müsste erst nachgucken.
Wichtig ist hierbei, dass du dich mit Python auskennen musst, da das DSM, meines Wissens nach, in Python geschrieben ist. Zu erkennen ist das an den .cgi Endungen an den Index Dateien (kann aber auch eine andere PS sein).

Grüße!
Philipp

 

[Philipp06]

Hier könnte man die NGINX Konfig. ansehen und gucken, was die ServerRoot Variable sagt.

 

[Ulfhednir]

Diese müssten irgendwo unter /usr/share liegen. Müsste erst nachgucken.

Dann würde ich jetzt mal ergänzen, dass /usr/syno/synoman/webman recht vielversprechend aussieht.
@et.dima ich würde sagen: Trial & Error. Idealerweise versuchst du den Spaß allerdings in einer vDSM-Instanz, bevor du dir dein System abschießt.

P.S.: Halte ich übrigens trotzdem nicht für die beste Idee. Die Wahrscheinlichkeit ist recht hoch, dass dir ein DSM-Update die Einstellung zerhackt.

 

[Philipp06]

Haha ja das kanns auch sein. Hier aber wie oben gesagt: Erfahrung in mindestens Mal Python.

 

[et.dima]

Python ist nicht mein Ding und daher bin ich an dieser stelle schon raus
Eine Mod zu machen die nach einem update dann auch wieder weg ist, sehe ich auch nicht als Lösung an.
Eine vDMS auf zu setzen ist mir auch nicht möglich, daher ext. was für jemand anderen.

Ich könnte ja einen eigenen Web-Server aufspielen und dann von dort aus auf die Synology Dienste umleiten um im Frontend Tracking zu ermöglichen *zwinker. Nein, eigentlich suche ich ja ne Funktion dafür, aber das ist wohl nicht angedacht.

Danke für eure Bemühungen zum Thema.

 

[Ulfhednir]

Also, wenn man in das Verzeichnis schaut, gibt es zumindest eine desktop.html und ebenfalls diverse JavaScript-Files.
Wenn man denn wollte, könnte man das auch ohne Python-Kenntnisse ausprobieren.

Vielleicht für den Nächsten, der Zeit und Lust hierfür hat.