Por padrão o Ossec HIDS apenas monitora os arquivos de logs access.log e error.log do Apache, isto torna-se um problema quando hospedamos diversos vhosts ( sites ) no mesmo servidor.
Claro que somente será um problema para os sysadmins que não configuram os logs dos vhosts individualmente, espero que este NÃO seja o seu caso. Se você é daqueles que nem sabem onde estão localizados os logs do Apache mostrarei como configurá-los e como adequar o Ossec HIDS a esta nova realidade.
DICA: Está boa prática facilita a auditoria dos logs durante a detecção de ataques e erros.
CUSTOMIZANDO O LOG DO VHOST
Adicione as linhas CustomLog e ErrorLog no arquivo de configuração do vhost, como no exemplo abaixo:
| <VirtualHost *:80> ServerName www.acme.com ServerAdmin alexos@acme.com CustomLog /var/log/apache2/www.acme.com-access.log combined ErrorLog /var/log/apache2/www.acme.com-error.log DocumentRoot /var/www/acme/ DirectoryIndex index.php<Directory /> Order Deny,Allow Deny from all Options None AllowOverride None </Directory><Directory /var/www/acme/> Options Indexes FollowSymLinks MultiViews AllowOverride None Order Allow,Deny Allow from all </Directory> |
CONFIGURANDO O OSSEC
Edite o arquivo /var/log/ossec/ossec.conf e adicione na tag localfile os novos arquivos de log, como no exemplo abaixo:
| <localfile> <log_format>apache</log_format> <location>/var/log/apache2/error.log</location> </localfile> |
<localfile>
<log_format>apache</log_format>
<location>/var/log/apache2/access.log</location>
</localfile>
<localfile>
<log_format>apache</log_format>
<location>/var/log/apache2/www.acme.com-access.log</location>
</localfile>
<localfile>
<log_format>apache</log_format>
<location>/var/log/apache2/www.acme.com-error.log</location>
</localfile>
Após reinciar o Apache e Ossec HIDS os alertas serão enviados de acordo com cada virtual host.
0sem comentários ainda