В настоящее время я пытаюсь проверить, соответствует ли наш веб-сервер Apache (httpd) В поисках STIG WG242 A22. На этой странице есть пример LogFormat, как показано ниже:
LogFormat "%a %A %h %H %l %m %s %t %u %U \"%{Referer}i\" " combined
В настоящее время мы используем,
LogFormat "%h %l %u %t \"%r\" %>s %b" common
Будет ли это нарушением STIG, если формат журнала, который используется на нашем сервере, не совпадает с тем, который присутствует в Страница STIG. Или STIG только говорит, что «у вас должен быть доступ к файлам журнала, и формат может быть любым, как вам нравится».
Из резюме соответствующих Требования STIG:
Все директивы, указанные в этом STIG, должны быть специально установлены
Так что нет, это не достаточно просто войти "все, что угодно"...
V-13688 говорит:
Регистрируемые элементы показаны в этой строке примера в файле httpd.conf:
LogFormat "%a %A %h %H %l %m %s %t %u %U \"%{Referer}i\" " combinedЕсли веб-сервер не настроен для захвата необходимые контрольные события для всех сайтов и виртуальных каталогов, это открытие.
С вашими текущими настройками LogFormat, как они есть, вы не захватываете все необходимые мероприятия (вы не записываете IP-адреса, опуская требуемый заголовок Referer и пропуская еще больше), и это будет обнаружением.
Нахождение: V-13688
Строгость: средний
Заглавие: Данные файла журнала должны содержать обязательные элементы данных.
Описание: Использование файлов журналов является критическим компонентом работы информационных систем (ИС), используемых в Министерстве обороны, и они могут оказать неоценимую помощь в оценке ущерба, ...
Возможно, вы по-прежнему можете записывать необходимые события аудита в другом порядке (предоставленная строка LogFormat - это только образец), и вам разрешено записывать больше характеристик запроса. В обязательных событиях аудита указывается только минимум деталей ваши журналы должны содержать. Но прежде чем вы начнете с ума сойти, комбинированный LogFormat довольно хорошо поддерживается многочисленными инструментами, и отклонение от обычного формата может фактически снизить практическую ценность ваших журналов в этом отношении.