Der Nginx-Parser ist ein entscheidendes Werkzeug zur Analyse von Nginx-Protokollen. Er ermöglicht die Extraktion und Verarbeitung von Informationen, wodurch Sicherheitsereignisse wie Anfragen, Zugriffe und Fehlermeldungen effektiv überwacht und bewertet werden können.

Konfiguration der NGINX Extraktoren

1. Konfigurationsdatei bearbeiten: Öffnen Sie die Datei /etc/nginx/nginx.conf in einem Texteditor.

2. Log-Format hinzufügen: Fügen Sie im Abschnitt http das folgende Log-Format ngs hinzu:

http {
  ...
  	##
	# Syslog
	##

	log_format ngs '$remote_addr - $remote_user "$request" $status $body_bytes_sent "$http_referer" "$http_user_agent" ["$server_name" $server_port $remote_port "$upstream_addr"]';

3. Access und Error Logs konfigurieren: Konfigurieren Sie die Access und Error Logs, um über Syslog an einen Relay-Server zu senden:

access_log syslog:server=<relayIP>:<relayPort> ngs;
	error_log syslog:server=<relayIP>:<relayPort> <level>;
  ...
}

4. Definieren Sie das Error Log Level: Die Error Log Level Werte sind: info, notice, warn, error, crit, alert, emerg. Beachten Sie, dass die Menge an erfassten Logs bei steigendem Error Log Level weniger wird.

5. Prüfen der Konfiguration: Führen Sie den Befehl nginx -t aus, um sicherzustellen, dass die Konfiguration gültig ist. Bitte beachten Sie, dass nicht immer alle Log-Parameter verfügbar sind.

6. Konfiguration anwenden: Verwenden Sie service nginx reload, um die aktualisierte Konfiguration zu laden.

7. Relay-Konfiguration: Stellen Sie sicher, dass beim Relay als Parser "nginx" ausgewählt ist.