Ваш хостер должен предоставлять ежедневно файлы активностей Ваших пользователей и в заданные промежутки обновлять информацию в файлах.

В зависимости от хостера они могут нести разные имена, отличные от тех, пример которых я приведу.
Как правило, файлы хранятся в корневой директории Вашего сайта.


———————————————————————————————————————
Рассмотрим пример одного из файлов. Обычно они заполняются одинаково:

Ваш_сайт.ru 5.255.253.131 — — [30/Aug/2014:06:33:51 +0400] «GET /robots.txt HTTP/1.0» 404 208 «-» «Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots

Ваш_сайт.ru 66.249.64.149 — — [30/Aug/2014:06:44:39 +0400] «GET / HTTP/1.0» 200 13269 «-» «Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html

Ваш_сайт.ru 5.255.253.131 — — [30/Aug/2014:07:04:52 +0400] «GET / HTTP/1.0» 200 13269 «-» «Mozilla/5.0 (compatible; YandexMetrika/3.0; +http://yandex.com/bots

Ваш_сайт.ru 91.221.109.101 — — [30/Aug/2014:07:09:50 +0400] «GET /user/register HTTP/1.0» 404 211 «-» «Mozilla/5.0 (Windows NT 6.2; WOW64) Runet-Research-Crawler (itrack.ru/research/cmsrate; rating@itrack.ru

Ваш_сайт.ru 134.249.51.93 — — [30/Aug/2014:07:24:10 +0400] «GET / HTTP/1.0» 200 13269 «http://Ваш_сайт.ru/» «Mozilla/5.0 (Windows NT 5.1; rv:27.0) Gecko/20100101 Firefox/27.0»

Ваш_сайт.ru 134.249.51.93 — — [30/Aug/2014:07:24:11 +0400] «GET /signup HTTP/1.0» 200 12515 «http://Ваш_сайт.ru/signup» «Mozilla/5.0 (Windows NT 5.1; rv:27.0) Gecko/20100101 Firefox/27.0»

Ваш_сайт.ru 134.249.51.93 — — [30/Aug/2014:07:24:11 +0400] «GET /captcha.php?rnd=3292 HTTP/1.0» 200 10857 «http://Ваш_сайт.ru/signup» «Mozilla/5.0 (Windows NT 5.1; rv:27.0) Gecko/20100101 Firefox/27.0»

Ваш_сайт.ru 134.249.51.93 — — [30/Aug/2014:07:24:11 +0400] «POST /signup HTTP/1.0» 200 12630 «http://Ваш_сайт.ru/signup» «Mozilla/5.0 (Windows NT 5.1; rv:27.0) Gecko/20100101 Firefox/27.0»
———————————————————————————————————————
Зеленый. Действия, которые производятся на ресурс. В данном случае объектом является Ваш сайт. Конкретнее домен.
Фиолетовый. С какого IP-адреса производились действия.
Оранжевый. Время производимых действий.
Красный. Тип запроса, выполняемый пользователем на Вашем сервере. GET — получение адреса, POST — отправка (submit). Вот тут и следует обращать особое внимание, мошеннические запросы фиксируются тут, но впрочем как и тут будут простые запросы.
Синий. Код состояния страницы HTTP:
200 — страница успешно создана/открыта
404 — страницы не существует.
Все коды можно посмотреть на wiki
Розовый. Количество отданного сервером объема (трафик; в байтах).
Серый. URL-источник выполнения запроса. То есть с какой страницы/адреса Вашего сервера был произведен запрос. Здесь тоже смотрите внимательно. Этот параметр показывает Вам, где у Вас возможна дыра. То есть покажет Вам с какой страницы мошенник произвел запрос и например, снял с Вашего счета деньги.
Черный. Клиент пользователя. 

Пример
Ваш_сайт.ru 134.249.51.93 — — [30/Aug/2014:07:24:11 +0400] «POST /signup HTTP/1.0» 200 12630 «http://Ваш_сайт.ru/signup» «Mozilla/5.0 (Windows NT 5.1; rv:27.0) Gecko/20100101 Firefox/27.0»
Перевод:
30 августа 2014 года, в 7:24:11 На Вашем сайте пользователь с IP 134.249.51.93 авторизовался со страницы Ваш_сайт.ru/signup (использовался метод POST — обработчик кнопки «Войти) с браузера Firefox 27.0.