###前提・実現したいこと
現在CentOS7でnginxをリバースプロキシとして使い、Mastodonを公開しています。
セキュリティの観点からSwatchを用いてnginxのログから不正なアクセス等を
検出して、管理者に伝える機能を作成したいと思っています。
基本的なことからわからないのですが、nginxにはerror.log,access.logの2つがありますが、どの部分を読めば不正アクセスをしていると判断できるのでしょうか。
私はerror.logに対しては”13: Permission denied”
access.logに対しては”404”に注目するのかなと思っていますが、よくわからないという状況です。
また、Swatchではどのように記述すればよいのでしょうか。以下の参考サイトのようにSwatchは設定をしています。
###こんな感じなのでしょうか??
#error.logの場合 watchfor /13: Permission denied/ 処理 #access.logの場合 watchfor /404/ 処理
###参考URL
Swatchでログを監視して、攻撃に合わせた対策を自動で実行する方法
http://oxynotes.com/?p=7534
あなたの回答
tips
プレビュー