SIEM WAF 伺服器 防火牆 Log 日誌 資安 安全

自建網頁式Log管理系統 web主機事件一覽無遺

2014-03-27
之前的文章曾介紹過mod_security模組,這是一套開源碼社群中頗負盛名的WAF軟體,其主要功能在於阻擋如SQL injection、X.S.S等惡意行為的網頁攻擊行為。其實mod_security模組除了在防禦惡意網頁攻擊行為具有優異的表現外,在網站Log紀錄的處理方面也具有相當強大的功能,不但可依設定分門別類處理不同種類的網站Log紀錄,甚至還能提供儲存至遠端資料庫的功能。
在本文中,除了說明mod_security模組相關網站記錄處理設定外,並將利用mod_security模組中的sensor與console架構,實作出一個中央控管的網站Log處理架構,將mod_security模組所擷取的相關網站紀錄回傳至後端資料庫,並提供一個網頁介面,以方便管理者管理相關的網站紀錄。本文實作所需的軟體如表1所示。

表1 本文實作所需軟體清單

Log分類

mod_security模組將Log紀錄分成Debug Log(偵錯用Log資訊)、Audit Log(稽核用資訊)、Remote Logging(遠端記錄功能)、Guardian Log(防禦Log機制)等四種,以下分別加以說明。

Debug Log(偵錯用Log資訊)

此類Log儲存相關偵錯的資訊,可讓使用者藉此發現相關問題,提供的相關組態如表2所示。

表2 Debug Log(偵錯用Log資訊)功能說明

如果在設定過程中遇到難以解決的問題,建議開啟此類偵錯組態,即可從Debug Log資訊中取得相關資訊來協助解決相關問題。

Audit Log(稽核用資訊)

此類Log儲存相關的稽核資訊,這也是mod_security主要的Log資訊,用來記錄網站伺服器存取的資訊及發生錯誤時的相關資訊,提供的組態如表3所示。

表3 Audit Log(稽核用資訊)功用說明


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!