De acordo com as Leis 12.965/2014 e 13.709/2018, que regulam o uso da Internet e o tratamento de dados pessoais no Brasil, ao me inscrever na newsletter do portal DICAS-L, autorizo o envio de notificações por e-mail ou outros meios e declaro estar ciente e concordar com seus Termos de Uso e Política de Privacidade.

Configurando o Ossec HIDS para monitorar os logs customizados do Apache

Colaboração: Alexandro Silva

Data de Publicação: 08 de março de 2012

Por padrão o Ossec HIDS apenas monitora os arquivos de logs access.log e error.log do Apache. Isto torna-se um problema quando hospedamos diversos vhosts (sites) no mesmo servidor.

Claro que somente será um problema para os sysadmins que não configuram os logs dos vhosts individualmente, espero que este NÃO seja o seu caso. Se você é daqueles que nem sabem onde estão localizados os logs do Apache mostrarei como configurá-los e como adequar o Ossec HIDS a está nova realidade.

DICA: Está boa prática facilita a auditoria dos logs durante a detecção de ataques e erros.

CUSTOMIZANDO O LOG DO VHOST

Adicione as linhas CustomLog e ErrorLog no arquivo de configuração do vhost, como no exemplo abaixo:

  <VirtualHost *:80>
     ServerName www.acme.com
     ServerAdmin alexos@acme.com
     CustomLog /var/log/apache2/www.acme.com-access.log combined
     ErrorLog /var/log/apache2/www.acme.com-error.log
     DocumentRoot /var/www/acme/
     DirectoryIndex index.php
  
  <Directory />
    Order Deny,Allow
    Deny from all
    Options None
    AllowOverride None
  </Directory>
  
  <Directory /var/www/acme/>
    Options Indexes FollowSymLinks MultiViews
    AllowOverride None
    Order Allow,Deny
    Allow from all
  </Directory>

CONFIGURANDO O OSSEC

Edite o arquivo /var/log/ossec/ossec.conf e adicione na tag localfile os novos arquivos de log, como no exemplo abaixo:

  <localfile>
  <log_format>apache</log_format>
  <location>/var/log/apache2/error.log</location>
  </localfile>
  <localfile>
  <log_format>apache</log_format>
  <location>/var/log/apache2/access.log</location>
  </localfile>
  <localfile>
  <log_format>apache</log_format>
  <location>/var/log/apache2/www.acme.com-access.log</location>
  </localfile>
  <localfile>
  <log_format>apache</log_format>
  <location>/var/log/apache2/www.acme.com-error.log</location>
  </localfile>

Após reinciar o Apache e Ossec HIDS os alertas serão enviados de acordo com cada virtual host.

Blog do autor: http://alexos.org

Adicionar comentário

* Campos obrigatórios
5000
Powered by Commentics

Comentários

Nenhum comentário ainda. Seja o primeiro!


Veja a relação completa dos artigos de Alexandro Silva