%20%E6%A3%80%E6%B5%8B%E5%85%A5%E4%BE%B5.png)
我有一个 Apache 日志。是否有 IDS(入侵检测系统)可以检测我的服务器中的入侵?
我只有一个 apache 日志
答案1
有一个名为的应用程序Apache 头皮. 它是一个 Apache 日志分析器。
Scalp! 是 Apache Web 服务器的日志分析器,用于查找安全问题。主要思路是查看大量日志文件并提取通过 HTTP/GET 发送的可能攻击(默认情况下,Apache 不记录 HTTP/POST 变量)。
您可以从以下位置下载:http://code.google.com/p/apache-scalp/downloads/detail?name=scalp-0.4.py
使用示例:
./scalp-0.4.py -l /var/log/httpd_log -f ./default_filter.xml -o ./scalp-output --html
特征:
Scalp 有几个选项可能很有用,可以在对大型日志文件进行抓取或进行全面检查时节省时间;对于数百 MB 的日志文件,默认选项几乎没问题。
当前选项:
- 详尽:不会在第一个匹配的模式处停止,但会测试所有模式
- 强硬:将解码一部分潜在攻击(这样做是为了更好地利用 PHP-IDS 的正则表达式,以降低误报率)
- 期间:指定要查看的时间范围,其余时间将被忽略
- 样本:对日志行进行随机抽样以查看一定百分比,当用户不想对所有日志进行完整扫描而只是 ping 一下以查看是否存在问题时,这很有用。
- 攻击:指定工具将查看哪些类别的漏洞(例如,仅查看 XSS、SQL 注入等)