Формат журнала веб-сервера Apache httpd, требуемый STIG WG242 A22
В настоящее время я пытаюсь узнать, работает ли наш веб-сервер Apache (httpd) соответствует STIG Finding WG242 A22 . На этой странице есть пример LogFormat, как указано ниже:
LogFormat "%a %A %h %H %l %m %s %t %u %U \"%{Referer}i\" " combined
В настоящее время мы используем,
LogFormat "%h %l %u %t \"%r\" %>s %b" common
Будет ли это нарушением STIG, если формат журнала, который используется на нашем сервере, не совпадает с форматом, представленным на странице STIG . Или STIG только говорит, что «у вас должен быть доступ к файлам журнала, и формат может быть любым по вашему вкусу».
Из сводки соответствующих требований STIG :
Все директивы, указанные в этом STIG, должны быть специально установлены
Так что нет, это не достаточно, чтобы просто зарегистрировать «что угодно по своему вкусу» ...
V-13688 говорит:
Элементы, которые необходимо зарегистрировать, показаны в этой строке примера в httpd .conf файл:
LogFormat "% a% A% h% H% l% m% s% t% u% U \"% {Referer} i \ "" в сочетанииЕсли веб-сервер не настроен чтобы зафиксировать необходимые события аудита для всех сайтов и виртуальных каталогов, это результат .
С текущими настройками LogFormat, как они есть, вы не собираете все требуемые события (вы не записываете IP-адреса, пропускаете требуемый заголовок Referer и еще больше), и это будет обнаружением.
Вывод: V-13688
Уровень серьезности: Средний
Название: Данные файла журнала должны содержать обязательные элементы данных.
Описание: Использование файлов журнала является важным компонентом работы информационных систем (ИС), используемых в Министерстве обороны, и они могут предоставить неоценимую помощь в отношении оценки ущерба, ...
Возможно, вы все еще можете бесплатно записывать требуемые события аудита в другом заказ (предоставленная строка LogFormat является только примером), и вам разрешено записывать дополнительные характеристики запроса . Обязательные события аудита указывают только минимальную информацию , которую должны содержать ваши журналы. Но прежде чем вы зайдете в тупик, объединенный LogFormat довольно хорошо поддерживается многочисленными инструментами, и отклонение от обычного формата может фактически снизить практическую ценность ваших журналов в этом отношении.