我目前正在尝试查看我们的 Apache Web 服务器 (httpd) 是否符合STIG 发现 WG242 A22。此页面有一个 LogFormat 的示例,如下所示:
LogFormat "%a %A %h %H %l %m %s %t %u %U \"%{Referer}i\" " combined
我们目前正在使用,
LogFormat "%h %l %u %t \"%r\" %>s %b" common
如果我们服务器中使用的日志格式与现有的格式不匹配,这是否违反了 STIG?STIG 页面。或者 STIG 只是说“您必须拥有访问日志文件,并且格式可以是任何您喜欢的格式”。
答案1
从相关摘要STIG 要求:
本 STIG 中指定的所有指令必须专门设置
所以不是,是的 不是只需记录即可“任何你喜欢的东西”...
V-13688 说:
要记录的项目如 httpd.conf 文件中的此示例行所示:
LogFormat "%a %A %h %H %l %m %s %t %u %U \"%{Referer}i\" " combined如果 Web 服务器未配置为捕获必需的审计事件对于所有网站和虚拟目录,这是一个发现。
使用您当前的 LogFormat 设置,您无法捕获所有必需的事件(您没有记录 IP 地址,省略了所需的 Referer 标头并且缺少更多内容)这将是一个发现。
发现: V-13688
严重性:中等的
标题:日志文件数据必须包含所需的数据元素。
描述: 日志文件的使用是国防部内部使用的信息系统 (IS) 运行的一个关键组成部分,它们可以在损害评估方面提供宝贵的帮助……
可以说,你仍然可以自由地以不同的顺序记录所需的审计事件(提供的 LogFormat 行只是一个示例),并且你可以记录更多请求特征. 所需的审计事件仅指定最少细节您的日志应该包含以下内容。但在您开始疯狂之前,组合 LogFormat 得到了众多工具的良好支持,偏离传统格式实际上可能会降低您的日志在这方面的实用价值。