■Apache‎ > ‎

ログ設定(ウイルス対策1)

ログ解析をすればわかりますが、結構ウイルス系の攻撃が
ログに残っている事があります。
お陰でログが肥大・・・って事で要らないものは
記述されないor別に記録 する方法です。

設定はhttpd.confを修正します。
バーチャル設定をしている場合は、バーチャル設定内に記述。

■ウイルス系を別に書き出す。
SetEnvIf Request_URI "^/_mem_bin/" worm no_log
SetEnvIf Request_URI "^/_vti_bin/" worm no_log
SetEnvIf Request_URI "^/c/" worm no_log
SetEnvIf Request_URI "^/d/" worm no_log
SetEnvIf Request_URI "^/msadc/" worm no_log
SetEnvIf Request_URI "^/MSADC/" worm no_log
SetEnvIf Request_URI "^/scripts/" worm no_log
SetEnvIf Request_URI "^/default.ida" worm no_log
SetEnvIf Request_URI "root\.exe" worm no_log
SetEnvIf Request_URI "cmd\.exe" worm no_log
SetEnvIf Request_URI "NULL\.IDA" worm no_log
CustomLog [log Path]/worm.log combined env=worm
CustomLog [log Path]/access.log combined env=!no_log


■ローカルIPなど特定IPを、記述させない。
SetEnvIf Remote_Addr 192.168.0.20 no_log
SetEnvIf Remote_Addr 127.0.0.1 no_log
SetEnvIf Remote_Addr "^192\.168\.[0-9]+\.[0-9]+$" no_log
CustomLog [log Path]/access.log combined env=!no_log


■画像ファイル等の記述をさせない。
SetEnvIf Request_URI "\.(gif)|(jpg)|(png)|(css)$" no_log
CustomLog [log Path]/access.log combined env=!no_log


■上記をあわせると
#ウイルス
SetEnvIf Request_URI "^/_mem_bin/" worm no_log
SetEnvIf Request_URI "^/_vti_bin/" worm no_log
SetEnvIf Request_URI "^/c/" worm no_log
SetEnvIf Request_URI "^/d/" worm no_log
SetEnvIf Request_URI "^/msadc/" worm no_log
SetEnvIf Request_URI "^/MSADC/" worm no_log
SetEnvIf Request_URI "^/scripts/" worm no_log
SetEnvIf Request_URI "^/default.ida" worm no_log
SetEnvIf Request_URI "root\.exe" worm no_log
SetEnvIf Request_URI "cmd\.exe" worm no_log
SetEnvIf Request_URI "NULL\.IDA" worm no_log

#画像系
SetEnvIf Request_URI "\.(gif)|(jpg)|(png)|(css)$" no_log

#特定IP
SetEnvIf Remote_Addr 127.0.0.1 no_log
SetEnvIf Remote_Addr "^192\.168\.[0-9]+\.[0-9]+$" no_log

CustomLog [log Path]/worm.log combined env=worm
CustomLog [log Path]/access.log combined env=!no_log


設定した後は、Apacheの再起動を忘れずに。