Qual è il vantaggio di combinare diversi file di log web con diversi formati in termini di sicurezza delle applicazioni Web? In altre parole, in che modo combinare i file di registro iis con il file di registro apache aiuta a identificare gli attacchi?
Quello che stai descrivendo nella tua domanda viene spesso chiamato Informationfusion . Potendo collegare diverse fonti di log è possibile aumentare più facilmente la conoscenza del contesto delle richieste e aiutare a determinarne l'interpretazione.
Più registri è possibile mettere in contesto con altri registri e informazioni più diventano preziosi.
Ad esempio, i tuoi server web vengono inviati a un dispositivo di registrazione centrale in cui il loro formato è unificato. Una volta che i tuoi registri ora sono unificati puoi facilmente utilizzare comandi come:
cat weblogs.tz | cut $ip > ip.txt
netcat whois.cymru.org 43 < ip.txt > result.txt
E ora sei seduto sui tuoi utenti ASN, indirizzo IP, Nettrange, paese e altre cose carine da tutti i tuoi server web. Facendo un ulteriore passo avanti, ora cerchi clienti sospetti che visitano i tuoi server con schemi non normali, magari alla ricerca di un attacco mirato.
Ora con tutti i log del tuo server web puoi anche guardare più in dettaglio a tutti i pattern che sono visti su tutti o solo ad alcuni dei tuoi server web molto più facilmente. Come questo elenco da zeltser.com/log-management/security-incident-log-review- checklist :
Se converti i file di registro IIS in formato Apache, puoi eseguire apache-scalp.googlecode.com su di essi.
Leggi altre domande sui tag logging web-application appsec