OSSECで同じIPアドレス+Port番号からの連続POSTを検知する

前回の記事では同じIPアドレスからの連続POSTを検知するOSSECのルール定義について書きました。今回は同じIPアドレスに加えて、同じPort番号からの連続POSTを検知する場合について書こうと思います。OSSECの監視対象ログはApacheのアクセスログとします。

OSSEC、ApacheとOSのバージョンは以下のとおりです。

OSSEC: 2.8.3
Apache: 2.4
OS: Ubuntu 14.04

Continue reading →