Web Analytics

Logdateianalyse 17• Woher kommt der Nutzer?Diese Fragen lassen sich vor allem durch die Auswertung der sogenannten Kommunikationsranddaten beantworten.Probleme bei der AnalyseDas Hauptproblem der Logdateianalyse bei Webserver-Logdateien ist die Tatsache, dass HTTP ein zustandslosesProtokoll ist. Das heißt, jede Anfrage eines Clients nach einer Webseite (oder jeder einzelnen darin vorkommendenGrafik usw.) ist für den Webserver eine eigenständige Aktion. Klickt sich der Benutzer durch eine Website, hat derWebserver keinerlei Kenntnis, dass der Benutzer gerade schon eine Seite abgerufen hat.Um trotzdem ein zustandsbehaftetes HTTP zu ermöglichen, wird bei dynamisch erzeugten Webseiten gelegentlichbeim ersten Aufruf des Benutzers eine so genannte Session-ID vergeben, die der Client dann bei den folgendenAnfragen immer mitsendet. Dies kann über einen Cookie oder einen an jeden URI zusätzlich angehängten Parametererfolgen, wobei ein Cookie jedoch nicht in der Logdatei sichtbar ist und eine gesonderte Programmierung für dieLogdateianalyse benötigt. Falls ein Cookie gesetzt werden kann (das ist vom Client abhängig), ist auch eine spätereWiedererkennung möglich, sofern der Cookie in der Zwischenzeit nicht verändert bzw. gelöscht wurde. Ansonstenkönnen nur rein statistische Aussagen über die (wahrscheinlichen) Wiederkehrer einer Seite getroffen werden. Diesist dann z.B. durch Kombinationen von gleicher IP-Adresse, Bildschirmauflösung, übereinstimmenden Plug-ins usw.annähernd möglich, genau ist diese Methode aber nicht. Allerdings gibt es Untersuchungen zu Techniken, wie maneinzelne Rechner anhand ihrer individuellen Gangungenauigkeit der Systemuhr wiedererkennen kann.Eine andere im HTTP bestehende Möglichkeit, einen Benutzer zu identifizieren, ist die Verwendung der IP-Adresse.Sie kann jedoch für viele unterschiedliche Benutzer dieselbe sein, wenn diese einen Proxyserver, Network AddressTranslation oder Ähnliches verwenden. Sie sind daher nur mit größter Vorsicht zu verwenden, da eine IP-Adressenicht mit einem Benutzer gleichzusetzen ist.Oftmals hat der Betreiber einer Webseite jedoch keinen Zugriff auf die Logdatei des Webservers, sodass häufigversucht wird, mittels Zählpixeln dennoch eine statistische Auswertung zu ermöglichen. Hierzu werden kleine,unsichtbare (1×1 Pixel, transparent) Bilder in die Webseite eingebunden, die auf einem Webserver abgelegt werden,dessen Logdatei man auswerten kann.Erweiterte Informationen, wie beispielsweise die Bildschirmauflösung oder eine Liste von installiertenWebbrowser-Plug-ins, werden auch gerne gewünscht, sind jedoch nicht in einer Logdatei enthalten. DieseInformationen werden dann üblicherweise mittels einer Client-seitigen Skriptsprache ermittelt und ebenfalls mittelsZählpixel separat geloggt.Korrelation von LogdateienNeben der Auswertung einzelner Dateien existiert quasi als Königsdisziplin die Korrelation unterschiedlicherLogdateien, insbesondere zur Fehleranalyse. Dabei ist es wichtig, dass die beteiligten Systeme alle Logeinträge miteinem Zeitstempel versehen und darüber hinaus die Uhren dieser Systeme nahezu synchron gehen. Hier empfiehltsich der Einsatz eines Netzwerkzeitprotokolls wie NTP.Beispiel für eine Korrelation von Logdateien und -einträgen wäre die Verbindung von Firewall-Logdatei undRouter-Logdateien sowie Accountingdaten auf einem von einem Cracker kompromittierten System.