利用Apache日志(IDS)检测入侵

Question

我有一个apache日志。是否有入侵检测系统( IDS )来检测我的服务器中的入侵？

我只是有一个apache日志

Answer 1

有一个名为阿帕奇头皮的应用程序。它是一个Apache日志分析器。

头皮！是Apache web服务器的日志分析器，旨在查找安全问题。主要思想是查看巨大的日志文件并提取通过HTTP/GET发送的可能的攻击(默认情况下，Apache不记录HTTP/POST变量)。

您可以从：http://code.google.com/p/apache-scalp/downloads/detail?name=scalp-0.4.py下载

用法示例：

./scalp-0.4.py -l /var/log/httpd_log -f ./default_filter.xml -o ./scalp-output --html

功能：

Scalp有几个选项，这些选项可能很有用，以便在剥掉大型日志文件或执行全面检查时节省时间；对于数百MB的日志文件，默认选项几乎是可以的。

目前的备选方案：

• 穷举:不会停留在匹配的第一个模式，但将测试所有模式。
• 将解码部分潜在的攻击(这是为了更好地使用来自PHP的regexp，以降低错误率)。
• 期间:指定要查看的时间框架，其余的将被忽略。
• 示例:对日志行进行随机抽样以查看某个百分比，当用户不想对所有日志进行全面扫描时，这是有用的，但只需对其进行ping以查看是否存在问题。
• 攻击:指定该工具将看到哪些类型的漏洞(例如，只查看XSS、SQL注入等)