NGINX Extraktor

Der Nginx-Parser ist ein entscheidendes Werkzeug zur Analyse von Nginx-Protokollen. Er ermöglicht die Extraktion und Verarbeitung von Informationen, wodurch Sicherheitsereignisse wie Anfragen, Zugriffe und Fehlermeldungen effektiv überwacht und bewertet werden können.

Konfiguration der NGINX Extraktoren

1. Konfigurationsdatei bearbeiten: Öffnen Sie die Datei sudo nano/etc/nginx/nginx.conf in einem Texteditor (bspw. nano).

2. Log-Format hinzufügen: Fügen Sie im Abschnitt http das folgende Log-Format ngs hinzu:

http {
  ...
  	##
	# Syslog
	##

	log_format ngs '$remote_addr - $remote_user "$request" $status $body_bytes_sent "$http_referer" "$http_user_agent" ["$server_name" $server_port $remote_port "$upstream_addr"]';

1. Access und Error Logs konfigurieren: Konfigurieren Sie die Access und Error Logs, um über Syslog an einen Relay-Server zu senden:

access_log syslog:server=<relayIP>:<relayPort> ngs;
	error_log syslog:server=<relayIP>:<relayPort> <level>;
  ...
}

1. Definieren Sie das Error Log Level Die Error Log Level Werte sind: info, notice, warn, error, crit, alert, emerg. Beachten Sie, dass die Menge an erfassten Logs bei steigendem Error Log Level weniger wird.

2. Prüfen der Konfiguration Führen Sie den folgenden Befehl aus, um sicherzustellen, dass die Konfiguration gültig ist. Bitte beachten Sie, dass nicht immer alle Log-Parameter verfügbar sind nginx -t

3. Konfiguration anwenden Verwenden Sie den folgenden Befehl, um die aktualisierte Konfiguration zu laden: service nginx reload

4. Relay-Konfiguration Stellen Sie sicher, dass beim Relay als Parser nginx ausgewählt ist.