2018年09月17日

発売中!「セキュリティのためのログ分析入門」4章Squidログ、デフォルトのsquid形式をcombined形式へ変更してみました

「セキュリティのためのログ分析入門」4章より
CentOS7.5にsquidをインストール。

最初は以下だけ意識しておけばOK。
=========================
/etc/squid/squid.conf
=========================

acl localnet src 10.0.0.0/8

http_access allow localnet
http_access allow localhost
http_access deny all

http_port 3128


#systemctl start squid で確認。

この時点では、ログはデフォルトのsquid形式で出力されます。
これを以下のように、combined形式へ変更します。

=====================
/etc/squid/squid.conf
=====================
logformat combined %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %>Hs %h" "%{User-Agent}>h" %Ss:%Sh
access_log /var/log/squid/comb_access.log combined


参考文献:
・セキュリティのためのログ分析入門 サイバー攻撃の痕跡を見つける技術
・LPICレベル2 Version4.5対応 10章Webサーバとプロキシ



◎セキュリティのためのログ分析入門 サイバー攻撃の痕跡を見つける技術:円
セキュリティのためのログ分析入門 サイバー攻撃の痕跡を見つける技術 (Software Design plusシリーズ)
セキュリティのためのログ分析入門 サイバー攻撃の痕跡を見つける技術 (Software Design plusシリーズ)


◎LPICレベル2 Version4.5対応10章Webサーバとプロキシ:円
Linux教科書 LPICレベル2 Version 4.5対応
Linux教科書 LPICレベル2 Version 4.5対応


◆combinedログの出力例

# tail -f /var/log/squid/comb_access.log
10.xxx.xxx.xxx - - [17/Sep/2018:14:06:06 +0900] "GET http://publickey1.jp/ HTTP/1.1" 301 574 "-" "Wget/1.14 (linux-gnu)" TCP_MISS:HIER_DIRECT
10.xxx.xxx.xxx - - [17/Sep/2018:14:06:12 +0900] "GET http://www.yahoo.co.jp/ HTTP/1.1" 301 1540 "-" "Wget/1.14 (linux-gnu)" TCP_MISS_ABORTED:HIER_DIRECT
10.xxx.xxx.xxx - - [17/Sep/2018:14:07:28 +0900] "GET http://www.yahoo.co.jp/ HTTP/1.1" 301 1540 "-" "Wget/1.14 (linux-gnu)" TCP_MISS_ABORTED:HIER_DIRECT

10.xxx.xxx.xxx - - [17/Sep/2018:14:14:55 +0900] "GET http://www.yahoo.co.jp/ HTTP/1.1" 301 7250 "-" "curl/7.29.0" TCP_MISS:HIER_DIRECT
10.xxx.xxx.xxx - - [17/Sep/2018:14:15:05 +0900] "GET http://publickey1.jp/ HTTP/1.1" 301 574 "-" "curl/7.29.0" TCP_MISS:HIER_DIRECT
posted by アンドレアス at 15:59| Comment(0) | セキュリティを意識したコマンド | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

※ブログオーナーが承認したコメントのみ表示されます。