NGINX Extraktor
Der Nginx-Parser ist ein entscheidendes Werkzeug zur Analyse von Nginx-Protokollen. Er ermöglicht die Extraktion und Verarbeitung von Informationen, wodurch Sicherheitsereignisse wie Anfragen, Zugriffe und Fehlermeldungen effektiv überwacht und bewertet werden können.
Konfiguration der NGINX Extraktoren
Konfigurationsdatei bearbeiten: Öffnen Sie die Datei
sudo nano/etc/nginx/nginx.conf
in einem Texteditor (bspw. nano).Log-Format hinzufügen: Fügen Sie im Abschnitt http das folgende Log-Format ngs hinzu:
http {
...
##
# Syslog
##
log_format ngs '$remote_addr - $remote_user "$request" $status $body_bytes_sent "$http_referer" "$http_user_agent" ["$server_name" $server_port $remote_port "$upstream_addr"]';
Access und Error Logs konfigurieren: Konfigurieren Sie die Access und Error Logs, um über Syslog an einen Relay-Server zu senden:
access_log syslog:server=<relayIP>:<relayPort> ngs;
error_log syslog:server=<relayIP>:<relayPort> <level>;
...
}
Definieren Sie das Error Log Level Die Error Log Level Werte sind:
info
,notice
,warn
,error
,crit
,alert
,emerg
. Beachten Sie, dass die Menge an erfassten Logs bei steigendem Error Log Level weniger wird.Prüfen der Konfiguration Führen Sie den folgenden Befehl aus, um sicherzustellen, dass die Konfiguration gültig ist. Bitte beachten Sie, dass nicht immer alle Log-Parameter verfügbar sind
nginx -t
Konfiguration anwenden Verwenden Sie den folgenden Befehl, um die aktualisierte Konfiguration zu laden:
service nginx reload
Relay-Konfiguration Stellen Sie sicher, dass beim Relay als Parser
nginx
ausgewählt ist.
Last updated
Was this helpful?