Вопрос Обнаружение вторжения в журнал Apache (IDS)


У меня есть журнал apache. существует ли IDS (система обнаружения вторжений) для обнаружения вторжений на моем сервере?

У меня просто есть apache log


2
2017-12-02 12:58


происхождения




ответы:


Существует приложение, называемое Apache-скальп, Это анализатор журналов Apache.

Скальп! является анализатором журналов для веб-сервера Apache, который направлен на просмотр   для проблем безопасности. Основная идея - просмотреть огромные файлы журналов   и извлеките возможные атаки, которые были отправлены через HTTP / GET   (По умолчанию Apache не регистрирует переменную HTTP / POST).

Вы можете скачать его с: http://code.google.com/p/apache-scalp/downloads/detail?name=scalp-0.4.py

Пример использования:

./scalp-0.4.py -l /var/log/httpd_log -f ./default_filter.xml -o ./scalp-output --html

Особенности:

У Scalp есть несколько вариантов, которые могут быть полезны для того, чтобы сэкономить время при скальпировании огромного файла журнала или для полного изучения; параметры по умолчанию почти подходят для файлов журналов сотен МБ.

Текущие варианты:

  • исчерпывающий: не будет останавливаться при первом совпадающем шаблоне, но будет проверять все шаблоны
  • hard: расшифрует часть потенциальных атак (это делается для лучшего использования регулярного выражения PHP-IDS, чтобы уменьшить ложно-отрицательную скорость)
  • period: укажите временные рамки для просмотра, все остальное будет проигнорировано
  • sample: Производит ли случайная выборка строк журнала, чтобы просмотреть определенный процент, это полезно, когда пользователь не хочет выполнять полную проверку всего журнала, а просто пингует его, чтобы увидеть, есть ли какая-то проблема ,
  • Атака: укажите, какие классы уязвимостей будет выглядеть на инструменте (например, посмотрите только на XSS, SQL Injection и т. д.).

2
2017-12-02 13:23