サーバーのステータスをレポートしてくれるlogwatchは、とても便利なツールだけど
デフォルトの設定だと、攻撃を受けた内容がエラーコード毎に表示されるので、とても見辛くなる。
(たまに1MBとか巨大なサイズになる)
404 Not Found
/game/img/01_b.jpg: 1 Time(s)
/game/img/02_b.jpg: 1 Time(s)
/game/img/05_b.jpg: 1 Time(s)
・
・
・
リソースは食うけど、403 Forbbidenと 404 Nof Found がログに大量に記録されても
セキュリティリスクは無いので、エラーのlogwatchで発生件数だけカウントするように修正。
【環境】
CentOS5.8 logwatch-7.3-9.el5_6(yumからインストールしたもの)
/usr/share/logwatch/default.conf/services/http.confをvimなどで開き、以下の2行を追加する。
$http_rc_detail_rep-403 = 10 $http_rc_detail_rep-404 = 20
設定後、logwatchのhttpdのレポートが以下のようにまとめられる。
Requests with error response codes
403 Forbidden SUMMARY – 5 URLs, total: 11 Time(s)
404 Not Found SUMMARY – 252 URLs, total: 1110 Time(s)
他の40xや50xのエラーは未対応だけど、取りあえずこれで様子見。