Formato de registro do servidor web Apache httpd requerido pelo STIG WG242 A22

1

No momento, estou tentando ver se o nosso servidor Web Apache (httpd) é compatível com STIG Encontrando o WG242 A22 . Esta página tem um exemplo de LogFormat, conforme dado abaixo:

 LogFormat "%a %A %h %H %l %m %s %t %u %U \"%{Referer}i\" " combined

No momento, estamos usando

 LogFormat "%h %l %u %t \"%r\" %>s %b" common

Será violação do STIG se o formato de log que está sendo usado em nosso servidor não corresponder ao que está presente em Página STIG . Ou o STIG está apenas dizendo que "você deve ter arquivos de registro de acesso, e o formato pode ser qualquer coisa de sua preferência".

    
por Wand Maker 18.08.2017 / 14:31

1 resposta

1

Do resumo dos requisitos STIG relevantes :

All directives specified in this STIG must be specifically set

Então, não é não suficiente para registrar "qualquer coisa que você goste" ...

V-13688 diz:

Items to be logged are as shown in this sample line in the httpd.conf file:

LogFormat "%a %A %h %H %l %m %s %t %u %U \"%{Referer}i\" " combined

If the web server is not configured to capture the required audit events for all sites and virtual directories, this is a finding.

Com as configurações atuais do LogFormat, você não está capturando todos os eventos necessários (não está gravando endereços IP, omitindo o cabeçalho Referer necessário e faltando ainda mais) e isso seria uma descoberta.

Finding: V-13688
Severity: Medium
Title: Log file data must contain required data elements.
Description: The use of log files is a critical component of the operation of the Information Systems (IS) used within the DoD, and they can provide invaluable assistance with regard to damage assessment, ...

Indiscutivelmente você ainda está livre para registrar os eventos de auditoria necessários em uma ordem diferente (a linha LogFormat fornecida é apenas uma amostra) e você tem permissão para gravar mais características de solicitação . Os eventos de auditoria necessários apenas especificam o detalhe mínimo que seus logs devem conter. Mas antes de você ficar louco, o LogFormat combinado é bastante bem suportado por várias ferramentas e se desviar do formato convencional pode realmente reduzir o valor prático de seus logs a esse respeito.

    
por 18.08.2017 / 16:40