Обнаружение вторжения с помощью журнала Apache (IDS)

Существует приложение под названием Apache-scalp . Это анализатор логов Apache.

Скальп! анализатор логов для веб-сервера Apache, целью которого является поиск проблем безопасности Основная идея состоит в том, чтобы просмотреть огромные файлы журналов и извлечь возможные атаки, отправленные через HTTP / GET (по умолчанию Apache не регистрирует переменную HTTP / POST).

Вы можете скачать его с: http://code.google.com/p/apache-scalp/downloads/detail?name=scalp-0.4.py

Пример использования:

./scalp-0.4.py -l /var/log/httpd_log -f ./default_filter.xml -o ./scalp-output --html

Особенности:

У скальпа есть несколько опций, которые могут быть полезны для экономии времени при скальпировании огромного файла журнала или для проведения полного обследования ; параметры по умолчанию почти подходят для файлов журналов размером в сотни МБ.

Текущие опции:

• исчерпывающий: не останавливаться на первом совпавшем паттерне, но будет тестировать все паттерны
• жестко: декодирует часть потенциальных атак (это делается для того, чтобы лучше использовать регулярное выражение из PHP-IDS для уменьшения частоты ложно-отрицательных результатов)
• период: укажите временной интервал для просмотра, все остальные будут игнорироваться
• sample: выполняет случайную выборку строк журнала для просмотра определенного процента, это полезно, когда пользователь не хочет выполнять полное сканирование всего журнала, а просто пингует его, чтобы увидеть, есть ли какая-либо проблема ,
• атака: укажите, на какие классы уязвимостей будет обращаться инструмент (например, искать только XSS, SQL-инъекцию и т. Д.)