De acordo com as Leis 12.965/2014 e 13.709/2018, que regulam o uso da Internet e o tratamento de dados pessoais no Brasil, ao me inscrever na newsletter do portal DICAS-L, autorizo o envio de notificações por e-mail ou outros meios e declaro estar ciente e concordar com seus Termos de Uso e Política de Privacidade.
Colaboração: Alexandro Silva
Data de Publicação: 08 de março de 2012
Por padrão o Ossec HIDS apenas monitora os arquivos de logs access.log e error.log do Apache. Isto torna-se um problema quando hospedamos diversos vhosts (sites) no mesmo servidor.
Claro que somente será um problema para os sysadmins que não configuram os logs dos vhosts individualmente, espero que este NÃO seja o seu caso. Se você é daqueles que nem sabem onde estão localizados os logs do Apache mostrarei como configurá-los e como adequar o Ossec HIDS a está nova realidade.
DICA: Está boa prática facilita a auditoria dos logs durante a detecção de ataques e erros.
Adicione as linhas CustomLog e ErrorLog no arquivo de configuração do vhost, como no exemplo abaixo:
<VirtualHost *:80>
ServerName www.acme.com
ServerAdmin alexos@acme.com
CustomLog /var/log/apache2/www.acme.com-access.log combined
ErrorLog /var/log/apache2/www.acme.com-error.log
DocumentRoot /var/www/acme/
DirectoryIndex index.php
<Directory />
Order Deny,Allow
Deny from all
Options None
AllowOverride None
</Directory>
<Directory /var/www/acme/>
Options Indexes FollowSymLinks MultiViews
AllowOverride None
Order Allow,Deny
Allow from all
</Directory>
Edite o arquivo /var/log/ossec/ossec.conf e adicione na tag localfile os novos arquivos de log, como no exemplo abaixo:
<localfile> <log_format>apache</log_format> <location>/var/log/apache2/error.log</location> </localfile>
<localfile> <log_format>apache</log_format> <location>/var/log/apache2/access.log</location> </localfile>
<localfile> <log_format>apache</log_format> <location>/var/log/apache2/www.acme.com-access.log</location> </localfile>
<localfile> <log_format>apache</log_format> <location>/var/log/apache2/www.acme.com-error.log</location> </localfile>
Após reinciar o Apache e Ossec HIDS os alertas serão enviados de acordo com cada virtual host.
Blog do autor: http://alexos.org
This policy contains information about your privacy. By posting, you are declaring that you understand this policy:
This policy is subject to change at any time and without notice.
These terms and conditions contain rules about posting comments. By submitting a comment, you are declaring that you agree with these rules:
Failure to comply with these rules may result in being banned from submitting further comments.
These terms and conditions are subject to change at any time and without notice.
Comentários