NGINX Extraktor
Last updated
Was this helpful?
Last updated
Was this helpful?
Was this helpful?
Der Nginx-Parser ist ein entscheidendes Werkzeug zur Analyse von Nginx-Protokollen. Er ermöglicht die Extraktion und Verarbeitung von Informationen, wodurch Sicherheitsereignisse wie Anfragen, Zugriffe und Fehlermeldungen effektiv überwacht und bewertet werden können.
Konfigurationsdatei bearbeiten:
Öffnen Sie die Datei sudo nano/etc/nginx/nginx.conf
in einem Texteditor (bspw. nano).
Log-Format hinzufügen: Fügen Sie im Abschnitt http das folgende Log-Format ngs hinzu:
http {
...
##
# Syslog
##
log_format ngs '$remote_addr - $remote_user "$request" $status $body_bytes_sent "$http_referer" "$http_user_agent" ["$server_name" $server_port $remote_port "$upstream_addr"]';
Access und Error Logs konfigurieren: Konfigurieren Sie die Access und Error Logs, um über Syslog an einen Relay-Server zu senden:
access_log syslog:server=<relayIP>:<relayPort> ngs;
error_log syslog:server=<relayIP>:<relayPort> <level>;
...
}
Definieren Sie das Error Log Level
Die Error Log Level Werte sind: info
, notice
, warn
, error
, crit
, alert
, emerg
.
Beachten Sie, dass die Menge an erfassten Logs bei steigendem Error Log Level weniger wird.
Prüfen der Konfiguration
Führen Sie den folgenden Befehl aus, um sicherzustellen, dass die Konfiguration gültig ist. Bitte beachten Sie, dass nicht immer alle Log-Parameter verfügbar sind
nginx -t
Konfiguration anwenden
Verwenden Sie den folgenden Befehl, um die aktualisierte Konfiguration zu laden:
service nginx reload
Relay-Konfiguration
Stellen Sie sicher, dass beim Relay als Parser nginx
ausgewählt ist.