如何在 ELB 后面的 Web 服务器日志中捕获客户端 IP 地址?

上次更新时间:2021 年 3 月 17 日

我正在对我的 Web 服务器使用 Elastic Load Balancing (ELB),我可以在 Web 服务器访问日志中看到负载均衡器的 IP 地址。如何改为捕获客户端 IP 地址?

简短描述

您的 Web 服务器访问日志之所以捕获负载均衡器的 IP 地址,是因为负载均衡器会与您的实例建立连接。要在 Web 服务器访问日志中捕获客户端的 IP 地址,请进行以下配置:

  • 对于具有 HTTP/HTTPS 侦听器的 Application Load Balancer 和 Classic Load Balancer,使用 X-Forwarded-For HTTP 标头来捕获客户端 IP 地址。然后,您可以将 Web 服务器访问日志配置为记录这些 IP 地址。
  • 对于具有 TCP/SSL 侦听器的 Classic Load Balancer,需要在 Classic Load Balancer 和目标应用程序上启用代理协议支持。确保在负载均衡器和应用程序上配置代理协议支持。
  • 对于 Network Load Balancer,请按实例 ID 注册目标,以捕获客户端 IP 地址,而无需额外的 Web 服务器配置。有关说明,请参阅目标组属性而不是以下解决方法。
  • 对于 Network Load Balancer,如果您只能将 IP 地址注册为目标,请在负载均衡器上启用代理协议版本 2。有关说明,请参阅启用代理协议而不是以下解决方法。

解决方法

具有 HTTP/HTTPS 侦听器的 Application Load Balancer 和 Classic Load Balancer (Apache)

1.    使用文本编辑器打开 Apache 配置文件。位置因配置而异,例如,Amazon Linux 和 RHEL 上的位置是 /etc/httpd/conf/httpd.conf或者 Ubuntu 上的位置是 /etc/apache2/apache2.conf

2.    在 LogFormat 部分中,添加 %{X-Forwarded-For}i,类似于以下内容:

    ...
    LogFormat "%{X-Forwarded-For}i %h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
    LogFormat "%h %l %u %t \"%r\" %>s %b" common
    ...

3.    保存所做更改。

4.    重新加载 Apache 服务。

对于 Sysvinit、基于 Debian 的系统(如 Ubuntu)和 SUSE(如 SLES11),请运行以下命令:

# /etc/init.d/apache2 reload

对于 Sysvinit、基于 RPM 的系统(如 RHEL 6 和 Amazon Linux),不包括 SUSE,请运行以下内容:

# /etc/init.d/httpd reload

对于 Systemd、基于 Debian 的系统(如 Ubuntu)和 SUSE(如 SLES12),请运行以下命令:

# systemctl reload apache2

对于 Systemd、基于 RPM 的系统(如 RHEL 7 和 Amazon Linux 2),不包括 SUSE,请运行以下命令:

# systemctl reload httpd

5.    打开您的 Apache Web 服务器访问日志。位置因配置而异。

6.    验证客户端 IP 地址现在是否记录在 X-Forwarded-For 标头下。

具有 HTTP/HTTPS 侦听器的 Application Load Balancer 和 Classic Load Balancer (NGINX)

1.    使用文本编辑器打开 NGINX 配置文件。该位置通常是 /etc/nginx/nginx.conf

2.    在 LogFormat 部分中,添加 $http_x_forwarded_for,类似于以下内容:

http {
    ...
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';
    access_log  /var/log/nginx/access.log  main;
    ...
}

3.    保存所做更改。

4.    重新加载 NGINX 服务。

例如,在 Amazon Linux 2 或 RHEL 上,运行以下命令:

systemctl reload nginx

注意:用于重新加载 NGINX 服务的命令在其他系统上各不相同。用于重新加载 NGINX 的命令类似于上一节中用于重新加载 Apache 服务的命令。

5.    打开您的 NGINX Web 服务器访问日志。位置因配置而异。

6.    验证客户端 IP 地址现在是否记录在 X-Forwarded-For 标头下。

具有 TCP/SSL 侦听器的 Classic Load Balancer (Apache)

1.    使用文本编辑器打开 Apache 配置文件。位置因配置而异,例如 Amazon Linux 和 RHEL 上的位置是 /etc/httpd/conf/httpd.conf,Ubuntu 上的位置是 /etc/apache2/apache2.conf

2.    确保您的 Apache 配置加载模块 mod_remoteip(适用于 Apache 2.4.31 及更高版本)。该模块包括 RemoteIPProxyProtocol 指令。在配置文件中,检查与以下内容类似的行:

Amazon Linux 或 RHEL:

LoadModule remoteip_module modules/mod_remoteip.so

Ubuntu:

LoadModule remoteip_module /usr/lib/apache2/modules/mod_remoteip.so

3.    确认 mod_remoteip 模块加载:

$ sudo apachectl -t -D DUMP_MODULES | grep -i remoteip

4.    检查输出并验证输出是否包含类似于以下内容的行:

remoteip_module (shared)

重要提示:如果输出中不包含此行,则说明您的配置中不包含或未加载该模块。在继续之前,请确保启用该模块。

5.    将下面一行添加到 Apache 配置文件中以启用代理协议支持:

RemoteIPProxyProtocol On

6.    编辑配置文件的 LogFormat 部分以捕获远程 IP 地址 (%a) 和远程端口 (%{remote}p:),类似于以下内容:

LogFormat "%h %p %a %{remote}p %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined

7.    保存所做更改。

8.    重新加载 Apache 服务。

对于 Sysvinit、基于 Debian 的系统(如 Ubuntu)和 SUSE(如 SLES11),请运行以下命令:

# /etc/init.d/apache2 reload

对于 Sysvinit、基于 RPM 的系统(如 RHEL 6 和 Amazon Linux),不包括 SUSE,请运行以下内容:

# /etc/init.d/httpd reload

对于 Systemd、基于 Debian 的系统(如 Ubuntu)和 SUSE(如 SLES12),请运行以下命令:

# systemctl reload apache2

对于 Systemd、基于 RPM 的系统(如 RHEL 7 和 Amazon Linux 2),不包括 SUSE,请运行以下命令:

# systemctl reload httpd

9.    打开 Apache Web 服务器访问日志。位置因配置而异。

10.    验证客户端 IP 地址现在是否记录在 Proxy Protocol 标头下。

11.    在目标应用程序中启用对代理协议的支持。

具有 TCP/SSL 侦听器的 Classic Load Balancer (NGINX)

1.    使用文本编辑器打开 NGINX 配置文件。该位置通常是 /etc/nginx/nginx.conf

2.    更改 server 部分的 listen 行,以启用 proxy_protocol。​确保更改 http 部分的 log_format 行,以设置 proxy_protocol_addr:​

http {
    ...
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$proxy_protocol_addr"';
 
    access_log  /var/log/nginx/access.log  main;
    ...
}
server {
        ...
        listen  80  default_server proxy_protocol;        
        ...
        }
...
}

3.    保存所做更改。

4.    重新加载 NGINX 服务。

例如,在 Amazon Linux 2 或 RHEL 上,运行以下命令:

systemctl reload nginx

注意:用于重新加载 NGINX 服务的命令在其他系统上各不相同。用于重新加载 NGINX 的命令类似于上一节中用于重新加载 Apache 服务的命令。

5.    打开 NGINX Web 服务器访问日志。位置因配置而异。

6.    验证客户端 IP 地址现在是否记录在 Proxy Protocol 标头下。

7.    在目标应用程序中启用对代理协议的支持。


这篇文章对您有帮助吗?


您是否需要账单或技术支持?