você está aqui: Home  → Arquivo de Mensagens Programação Shell Linux: Inscrições Abertas

Configurando o Ossec HIDS para monitorar os logs customizados do Apache

Colaboração: Alexandro Silva

Data de Publicação: 08 de março de 2012

Por padrão o Ossec HIDS apenas monitora os arquivos de logs access.log e error.log do Apache. Isto torna-se um problema quando hospedamos diversos vhosts (sites) no mesmo servidor.

Claro que somente será um problema para os sysadmins que não configuram os logs dos vhosts individualmente, espero que este NÃO seja o seu caso. Se você é daqueles que nem sabem onde estão localizados os logs do Apache mostrarei como configurá-los e como adequar o Ossec HIDS a está nova realidade.

DICA: Está boa prática facilita a auditoria dos logs durante a detecção de ataques e erros.

CUSTOMIZANDO O LOG DO VHOST

Adicione as linhas CustomLog e ErrorLog no arquivo de configuração do vhost, como no exemplo abaixo:

<VirtualHost *:80>
   ServerName www.acme.com
   ServerAdmin alexos@acme.com
   CustomLog /var/log/apache2/www.acme.com-access.log combined
   ErrorLog /var/log/apache2/www.acme.com-error.log
   DocumentRoot /var/www/acme/
   DirectoryIndex index.php

<Directory />
  Order Deny,Allow
  Deny from all
  Options None
  AllowOverride None
</Directory>

<Directory /var/www/acme/>
  Options Indexes FollowSymLinks MultiViews
  AllowOverride None
  Order Allow,Deny
  Allow from all
</Directory>

CONFIGURANDO O OSSEC

Edite o arquivo /var/log/ossec/ossec.conf e adicione na tag localfile os novos arquivos de log, como no exemplo abaixo:

<localfile>
<log_format>apache</log_format>
<location>/var/log/apache2/error.log</location>
</localfile>
<localfile>
<log_format>apache</log_format>
<location>/var/log/apache2/access.log</location>
</localfile>
<localfile>
<log_format>apache</log_format>
<location>/var/log/apache2/www.acme.com-access.log</location>
</localfile>
<localfile>
<log_format>apache</log_format>
<location>/var/log/apache2/www.acme.com-error.log</location>
</localfile>

Após reinciar o Apache e Ossec HIDS os alertas serão enviados de acordo com cada virtual host.

Blog do autor: http://alexos.org


Veja a relação completa dos artigos de Alexandro Silva