之前的文章曾介紹過mod_security模組,這是一套開源碼社群中頗負盛名的WAF軟體,其主要功能在於阻擋如SQL injection、X.S.S等惡意行為的網頁攻擊行為。其實mod_security模組除了在防禦惡意網頁攻擊行為具有優異的表現外,在網站Log紀錄的處理方面也具有相當強大的功能,不但可依設定分門別類處理不同種類的網站Log紀錄,甚至還能提供儲存至遠端資料庫的功能。
接下來,將waf-fle所提供的mlog2waffle程式複製到Sensor主機的「/usr/sbin/」目錄下,接著,在Sensor主機的「/etc/」目錄之下新增「mlog2waffle.conf」(mlog2waffle組態檔),設定內容如下圖所示。
mlog2waffle常用的組態設定,則如表6所示。
表6 mlog2waffle常用組態設定
最後設定httpd.conf中關於mod_security模組內的Log相關設定,如下圖所示。其主要是必須讓SecAuditLog與mlog2waffle.conf中的INDEX_FILE設定一致。
設定完成後,必須先啟動Sensor主機的mlog2waffle程式(在此以tail模式為例),所以執行指令「/usr/sbin/mlog2waffle &」。
然後,依序啟動Sensor主機上的網站伺服器、Console主機內的MySQL資料庫及網站伺服器。如果一切設定正常,Console主機就會正常地接收Sensor主機所傳送之資訊,並置放在MySQL的資料庫內。
可自行以瀏覽器瀏覽一個不存在的網頁(製造一個404事件),然後利用瀏覽器瀏覽waf-fle網頁點選網頁介面上方功能列的EVENTS,即會顯示相關事件,如下圖所示。
至此,一個結合mod_security模組並可將網站相關Log回傳至後端資料庫的系統已經完成了。由於網站的Log資訊既多且雜,所以waf-fle已經很貼心地提供了一個過濾的機制(Filter)來過濾相關的資訊。
只要點選網頁介面上方功能列的FILTER選項,即可設定相關的過濾條件來更精確地取得詳細資訊,此部分就留待讀者自行研究了。
<本文作者:吳惠麟,多年資安經驗,喜好利用開源碼建構相關解決方案,著有「資訊安全原理與實驗」等書。>