ログ解析をすればわかりますが、結構ウイルス系の攻撃が ログに残っている事があります。 お陰でログが肥大・・・って事で要らないものは 記述されないor別に記録 する方法です。 設定はhttpd.confを修正します。 バーチャル設定をしている場合は、バーチャル設定内に記述。 ■ウイルス系を別に書き出す。 SetEnvIf Request_URI "^/_mem_bin/" worm no_log SetEnvIf Request_URI "^/_vti_bin/" worm no_log SetEnvIf Request_URI "^/c/" worm no_log SetEnvIf Request_URI "^/d/" worm no_log SetEnvIf Request_URI "^/msadc/" worm no_log SetEnvIf Request_URI "^/MSADC/" worm no_log SetEnvIf Request_URI "^/scripts/" worm no_log SetEnvIf Request_URI "^/default.ida" worm no_log SetEnvIf Request_URI "root\.exe" worm no_log SetEnvIf Request_URI "cmd\.exe" worm no_log SetEnvIf Request_URI "NULL\.IDA" worm no_log CustomLog [log Path]/worm.log combined env=worm CustomLog [log Path]/access.log combined env=!no_log ■ローカルIPなど特定IPを、記述させない。 SetEnvIf Remote_Addr 192.168.0.20 no_log SetEnvIf Remote_Addr 127.0.0.1 no_log SetEnvIf Remote_Addr "^192\.168\.[0-9]+\.[0-9]+$" no_log CustomLog [log Path]/access.log combined env=!no_log ■画像ファイル等の記述をさせない。 SetEnvIf Request_URI "\.(gif)|(jpg)|(png)|(css)$" no_log CustomLog [log Path]/access.log combined env=!no_log ■上記をあわせると #ウイルス SetEnvIf Request_URI "^/_mem_bin/" worm no_log SetEnvIf Request_URI "^/_vti_bin/" worm no_log SetEnvIf Request_URI "^/c/" worm no_log SetEnvIf Request_URI "^/d/" worm no_log SetEnvIf Request_URI "^/msadc/" worm no_log SetEnvIf Request_URI "^/MSADC/" worm no_log SetEnvIf Request_URI "^/scripts/" worm no_log SetEnvIf Request_URI "^/default.ida" worm no_log SetEnvIf Request_URI "root\.exe" worm no_log SetEnvIf Request_URI "cmd\.exe" worm no_log SetEnvIf Request_URI "NULL\.IDA" worm no_log #画像系 SetEnvIf Request_URI "\.(gif)|(jpg)|(png)|(css)$" no_log #特定IP SetEnvIf Remote_Addr 127.0.0.1 no_log SetEnvIf Remote_Addr "^192\.168\.[0-9]+\.[0-9]+$" no_log CustomLog [log Path]/worm.log combined env=worm CustomLog [log Path]/access.log combined env=!no_log 設定した後は、Apacheの再起動を忘れずに。 |
■Apache >