OSSEC v2.9.0 でApacheアクセスログのPort番号を解釈するデコーダを定義する

2017年2月9日にOSSECのバージョン2.9.0がリリースされました。

v2.9.0ではIPv6がサポートされ、IPアドレスを解釈するデコーダの定義が更新されています。
以前の記事で、クライアントのPort番号をApacheのアクセスログに出力する場合のデコーダ定義について書きましたが、このような場合、v2.9.0ではどのようにデコーダを定義すればよいか調べてみました。

本記事で対象とするOSSEC、ApacheとOSのバージョンは以下のとおりです。

OSSEC: 2.9.0
Apache: 2.4
OS: Ubuntu 14.04

Continue reading →

OSSECで同じIPアドレス+Port番号からの連続POSTを検知する

前回の記事では同じIPアドレスからの連続POSTを検知するOSSECのルール定義について書きました。今回は同じIPアドレスに加えて、同じPort番号からの連続POSTを検知する場合について書こうと思います。OSSECの監視対象ログはApacheのアクセスログとします。

OSSEC、ApacheとOSのバージョンは以下のとおりです。

OSSEC: 2.8.3
Apache: 2.4
OS: Ubuntu 14.04

Continue reading →