você está aqui: Home  → Arquivo de Mensagens

Configurando o Ossec HIDS para monitorar os logs customizados do Apache

Colaboração: Alexandro Silva

Data de Publicação: 08 de março de 2012

Por padrão o Ossec HIDS apenas monitora os arquivos de logs access.log e error.log do Apache. Isto torna-se um problema quando hospedamos diversos vhosts (sites) no mesmo servidor.

Claro que somente será um problema para os sysadmins que não configuram os logs dos vhosts individualmente, espero que este NÃO seja o seu caso. Se você é daqueles que nem sabem onde estão localizados os logs do Apache mostrarei como configurá-los e como adequar o Ossec HIDS a está nova realidade.

DICA: Está boa prática facilita a auditoria dos logs durante a detecção de ataques e erros.

CUSTOMIZANDO O LOG DO VHOST

Adicione as linhas CustomLog e ErrorLog no arquivo de configuração do vhost, como no exemplo abaixo:

  <VirtualHost *:80>
     ServerName www.acme.com
     ServerAdmin alexos@acme.com
     CustomLog /var/log/apache2/www.acme.com-access.log combined
     ErrorLog /var/log/apache2/www.acme.com-error.log
     DocumentRoot /var/www/acme/
     DirectoryIndex index.php
  
  <Directory />
    Order Deny,Allow
    Deny from all
    Options None
    AllowOverride None
  </Directory>
  
  <Directory /var/www/acme/>
    Options Indexes FollowSymLinks MultiViews
    AllowOverride None
    Order Allow,Deny
    Allow from all
  </Directory>

CONFIGURANDO O OSSEC

Edite o arquivo /var/log/ossec/ossec.conf e adicione na tag localfile os novos arquivos de log, como no exemplo abaixo:

  <localfile>
  <log_format>apache</log_format>
  <location>/var/log/apache2/error.log</location>
  </localfile>
  <localfile>
  <log_format>apache</log_format>
  <location>/var/log/apache2/access.log</location>
  </localfile>
  <localfile>
  <log_format>apache</log_format>
  <location>/var/log/apache2/www.acme.com-access.log</location>
  </localfile>
  <localfile>
  <log_format>apache</log_format>
  <location>/var/log/apache2/www.acme.com-error.log</location>
  </localfile>

Após reinciar o Apache e Ossec HIDS os alertas serão enviados de acordo com cada virtual host.

Blog do autor: http://alexos.org


Veja a relação completa dos artigos de Alexandro Silva

 

 

Opinião dos Leitores

Seja o primeiro a comentar este artigo
*Nome:
Email:
Me notifique sobre novos comentários nessa página
Oculte meu email
*Texto:
 
  Para publicar seu comentário, digite o código contido na imagem acima
 


Powered by Scriptsmill Comments Script