ワームのログを別にする…

はじめに

apacheのログを見ていると、数は減ってきているものの未だに、ワームのログが結構あります。

これらのログが、access_logに残ってしまい、ログ解析の邪魔になるので、他に移すことにしました。

設定

ワーム用のログファイルは、worm_logとし、以下のリクエストを対象とします。

/_mem_bin/〜
/_vti_bin/〜
/c/〜
/d/〜
/msadc/〜
/MSADC/〜
/scripts/〜
/default.ida〜

httpd.confのログファイルを設定しているところで、環境変数を用いて、出力設定を行います。

SetEnvIf Request_URI ^/_mem_bin/ worm
SetEnvIf Request_URI ^/_vti_bin/ worm
SetEnvIf Request_URI ^/c/ worm
SetEnvIf Request_URI ^/d/ worm
SetEnvIfNoCase Request_URI ^/msadc/ worm
SetEnvIf Request_URI ^/scripts/ worm
SetEnvIf Request_URI ^/default\.ida worm

CustomLog logs/access_log combined env=!worm
CustomLog logs/worm_log combined env=worm

以下の設定では、ワームをworm_logに出力し、192.168.*.*からのアクセスは、ログに残さないようにする例です。

SetEnvIf Request_URI ^/_mem_bin/ worm nolog
SetEnvIf Request_URI ^/_vti_bin/ worm nolog
SetEnvIf Request_URI ^/c/ worm nolog
SetEnvIf Request_URI ^/d/ worm nolog
SetEnvIfNoCase Request_URI ^/msadc/ worm nolog
SetEnvIf Request_URI ^/scripts/ worm nolog
SetEnvIf Request_URI ^/default\.ida worm nolog
SetEnvIf Remote_Addr ^192\.168\. nolog

CustomLog logs/access_log combined env=!nolog
CustomLog logs/worm_log combined env=worm

なお、環境設定にはSetEnvIfを用いるので、mod_setenvif が必要です。

(2002/06/03)