Rispondi a questa domanda mentre le risposte sono ora di 5 anni: Posso rilevare gli attacchi delle app Web visualizzando il mio file di registro Apache?
Il mio capo mi ha incaricato di analizzare i nostri file access.log e error.log dopo un tentativo di attacco di iniezione mySQL la scorsa settimana. È piuttosto ovvio quando si visualizzano i log a mano, ma vorremmo qualcosa di automatizzato (un servizio o un'attività che può essere eseguito regolarmente tramite cron) che rilevi i pattern di attacco.
Stiamo utilizzando nginx, ma ciò non dovrebbe avere importanza perché i registri sono in formato standard. Qualche suggerimento sui programmi che eseguono questo tipo di analisi dei log? Non mi interessa l'analisi del traffico standard che programmi come Webalyzer fanno.
Inoltre, per quelli di voi che fanno questo tipo di rilevamento e analisi degli attacchi, quali sono i pattern che state cercando nei vostri file di registro oltre a una quantità di traffico più grande del normale?
Inoltre, guardi sia il file access.log che error.log o solo uno?