Реализация безопасной сетевой инфраструктуры для web-сервера

Администрирование web-сервера

Создание логов

Создание логов является принципиальным моментом при безопасном администрировании web-сервера. Запись соответствующих данных и последующий просмотр и анализ этих логов — это важная деятельность. Просмотр логов web-сервера особенно эффективен для зашифрованного трафика, когда сетевой мониторинг дает меньше возможностей.

Логи web-сервера обеспечивают следующее:

• оповещение о подозрительной деятельности, которая требует дальнейшего исследования;
• отслеживание деятельности проникающего;
• оказание помощи в восстановлении системы;
• оказание помощи в дальнейшем исследовании;
• предоставление необходимой информации для судебного разбирательства.

Выбор конкретного ПО web-сервера определяет множество более детальных инструкций, которым должен следовать web-администратор для конфигурирования логов.

Основные возможности создания логов

Каждое приложение web-сервера поддерживает различные возможности ведения логов. В зависимости от приложения web-сервера могут быть доступны одна или более следующих возможностей логов.

• Transfer Log – каждая пересылка представлена в виде одной записи, которая описывает основную информацию, относящуюся к пересылке.
• Error Log – каждая ошибка представлена в виде одной записи, включая объяснение причины возникновения данного сообщения об ошибке.
• Agent Log – содержит информацию о ПО пользовательского клиента, которое использовалось для доступа к содержимому web.
• Referrer Log – собирает информацию, относящуюся к НТТР-доступу. Это включает URL страницы, содержащей ссылку (link), по которой ПО клиента следовало для получения доступа к web-странице.

Большинство web-серверов поддерживают Transfer Log, и это обычно считается наиболее важным. Для записей Transfer Log доступно несколько форматов логов. Обычно информация представлена в виде плоского ASCII-текста без специальных разграничений различных полей.

• Common Log Format – данный формат хранит следующую информацию, относящуюся к одной пересылке (Transfer Log) в указанном порядке:

  • Удаленный хост.
  • Идентификация удаленного пользователя в соответствии с RFC 1413.
  • Аутентифицированный пользователь в соответствии с базовой схемой аутентификации.
  • Дата.
  • Запрошенный URL.
  • Статус запроса.
  • Количество реально переданных байтов.
• Комбинированный Log Format – данный формат содержит те же самые поля, которые были перечислены выше. Он также предоставляет информацию, обычно хранящуюся в Agent Log и Referrer Log, вместе с реально переданными данными. Хранение такой информации в консолидированном формате логов может способствовать более эффективному администрированию.

• Расширенный Log Format – данный формат предоставляет способ описать все элементы, которые должны быть собраны в лог-файле. Первые две строки лог-файла содержат версию и хранимые поля:

  #Version: 1.0
  #Field: date time c-ip sc-bytes time-taken cs-version
  2005-08-01 02:10:57 192.0.0.2 6340 3 HTTP/1.0

  Данный пример включает в себя дату, время, исходный адрес, число переданных байт, время, затраченное на передачу, и версию НТТР.
• Другие форматы лог-файла – ПО некоторых серверов предоставляет информацию в логах в других форматах, таких как форматы базы данных или форматы, в которых поля записей разделены определенным разделителем. Некоторое ПО дают возможность администратору определить специальные форматы лог-файлов в файле конфигурации web-сервера, используя специальный синтаксис (если недостаточен формат по умолчанию).