是的，您可以，apache 日志为您提供有关访问过您网站的人员的信息，包括机器人和蜘蛛。您可以检查的模式：

• 有人在不到一秒或接受的时间范围内提出了多个请求。
• 在一分钟内多次访问安全或登录页面。
• 使用不同的查询参数或路径访问不存在的页面。

apache 头皮http://code.google.com/p/apache-scalp/非常擅长做以上所有事情

日志分析不会涵盖所有攻击。例如，您不会看到通过 POST 请求传递的攻击。作为额外的保护措施可以服务于 IDS/IPS。

正如 Ams 所指出的，日志分析不会涵盖所有攻击，并且您不会看到 POST 请求的参数。但是，有时分析 POST 请求的日志是非常有益的。

具体来说，POST 常用于将恶意代码发送到后门脚本。这样的后门可以在子目录深处的某个地方创建，或者可以将后门代码注入到合法文件中。如果您的站点不受版本控制或其他完整性控制，则可能很难找到此类后门脚本。

这是诀窍：

1. 扫描您的访问日志以获取 POST 请求并编译请求文件的列表。在常规站点上，它们不应该有很多。
2. 检查这些文件的完整性和合法性。这将是您的白名单。
3. 现在定期扫描您的日志以查找 POST 请求，并将请求的文件与您的白名单进行比较（不用说您应该自动化此过程）。应调查任何新文件。如果它是合法的 - 将其添加到白名单中。如果不是 - 调查问题。

通过这种方式，您将能够有效地检测对通常不接受 POST 请求（注入后门代码）的文件和新创建的后门文件的可疑 POST 请求。如果幸运的话，您可以使用此类请求的 IP 地址来识别初始渗透点，或者您可以简单地检查该时间的日志以查找可疑活动。

mod_sec 几乎可以检测任何东西，包括检查 POST 请求。

您甚至可以将 snort ids 规则加载到其中，并在这些请求到达应用程序之前即时阻止它们