Apache

Utilice IBM Security QRadar Apache Content Extension para supervisar de cerca sus servidores Apache.

Importante: Para evitar errores de contenido en esta extensión de contenido, mantenga actualizados los DSM asociados. Los DSM se actualizan como parte de las actualizaciones automáticas. Si las actualizaciones automáticas no están activadas, descargue la versión más reciente de los DSM asociados desde IBM® Fix Central (https://www.ibm.com/support/fixcentral).

Configurar Apache DSM

Esta extensión de contenido requiere un cambio en la línea LogFormat del archivo de configuración de Apache para:


LogFormat "%h %A %l %u %t \"%r\" %>s %p %b \"%{Referer}i\" \"%{User-agent}i\" %a %I %O %D" <log_format_name>

Donde <nombre de formato de registro> es un nombre de variable que usted proporciona para definir el formato de registro personalizado.

Para obtener más información sobre cómo configurar Apache HTTP Server DSM, consulte Configuración de Apache HTTP Server con syslog (https://www.ibm.com/docs/en/SS42VS_DSM/com.ibm.dsm.doc/t_DSM_guide_apache_cfg_syslog.html) o Configuración de Apache HTTP Server con syslog-ng (https://www.ibm.com/docs/en/SS42VS_DSM/com.ibm.dsm.doc/t_DSM_guide_apache_cfg_syslogng.html).

IBM Security QRadar Apache Content Extension 1.0.3

La siguiente tabla muestra las propiedades personalizadas que se actualizaron en IBM Seguridad QRadar Apache Extensión de contenido 1.0.3.

Tabla 1. Propiedades personalizadas en IBM Security QRadar Apache Content Extension 1.0.3
Nombre de la antigua propiedad	Nuevo nombre de propiedad
UrlHost	Host de URL
Paquetes para el cliente	Paquetes enviados
Host de origen	Host del remitente
BytesSent	Bytes enviados
BytesReceived	Bytes recibidos
URL del referente	URL referente

IBM Security QRadar Apache Content Extension 1.0.2

En la tabla siguiente se muestran las propiedades personalizadas en IBM Security QRadar Apache Content Extension 1.0.2.

Tabla 2. Propiedades personalizadas en IBM Security QRadar Apache Content Extension 1.0.2
Nombre	Optimizada	Grupo de capturas	Expresión regular
BytesReceived	Sí	1	(? :GET\|POST\|CONNECT\|TUNNEL\|HEAD\|PUT\|DELETE\|OPTIONS\|TRACE\|PATCH). * ?" \s\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\s + ([\d \|-] +)
BytesSent	Sí	1	(? :GET\|POST\|CONNECT\|TUNNEL\|HEAD\|DELETE\|OPTIONS\|TRACE\|PATCH). ?" \s\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\s +. ?\s + ([\d \|-] +)
Host de origen	Sí	1	(? :GET\|POST\|CONNECT\|TUNNEL\|HEAD\|PUT\|DELETE\|OPTIONS\|TRACE\|PATCH). * ?" \s (\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})
Tiem de respuesta de servidor	Sí	1	(? :GET\|POST\|CONNECT\|TUNNEL\|HEAD\|DELETE\|OPTIONS\|TRACE\|PATCH). ?" \s\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\s +. ?\s +. * ?\s + ([\d \|-] +)

IBM Security QRadar Apache Content Extension 1.0.1

En la tabla siguiente se muestran las propiedades personalizadas en IBM Security QRadar Apache Content Extension 1.0.1.

Tabla 3. Propiedades personalizadas en IBM Security QRadar Apache Content Extension 1.0.1
Nombre	Optimizada	Grupo de capturas	Expresión regular
URL del referente	Sí	1	(?:GET\|POST\|CONNECT\|TUNNEL\|HEAD\|PUT\|DELETE\|OPTIONS\|TRACE\|PATCH).?\"\s\d+\s\d+\s.?\"(.*?)"
Tiempo de respuesta del servidor	Sí	1	(?:GET\|POST\|CONNECT\|TUNNEL\|HEAD\|PUT\|DELETE\|OPTIONS\|TRACE\|PATCH).?\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\s+.?\s+.*?\s+([\d\|-]+)

IBM Security QRadar Apache Content Extension 1.0.0

En la tabla siguiente se muestran las propiedades personalizadas en IBM Security QRadar Apache Content Extension 1.0.0.

Tabla 4. Propiedades personalizadas en IBM Security QRadar Apache Content Extension 1.0.0
Nombre	Optimizada	Grupo de capturas	Expresión regular
BytesReceived	Sí	1	(?:GET\|POST\|CONNECT\|TUNNEL\|HEAD\|PUT\|DELETE\|OPTIONS\|TRACE\|PATCH).*?\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\s+([\d\|-]+)
BytesSent	Sí	1	(?:GET\|POST\|CONNECT\|TUNNEL\|HEAD\|PUT\|DELETE\|OPTIONS\|TRACE\|PATCH).?\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\s+.?\s+([\d\|-]+)
METHOD	Nee	1	(GET\|POST\|CONNECT\|TUNNEL\|HEAD\|PUT\|DELETE\|OPTIONS\|TRACE\|PATCH)
Host de origen	Sí	1	(?:GET\|POST\|CONNECT\|TUNNEL\|HEAD\|PUT\|DELETE\|OPTIONS\|TRACE\|PATCH).*?(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})
Paquetes enviados	Nee	1	(?:GET\|POST\|CONNECT\|TUNNEL\|HEAD\|PUT\|DELETE\|OPTIONS\|TRACE\|PATCH).*?\d+\s+\d+\s+([\d\|-]+)\s
URL del referente	Nee	1	(?:GET\|POST\|CONNECT\|TUNNEL\|HEAD\|PUT\|DELETE\|OPTIONS\|TRACE\|PATCH).?\"\s\d+\s\d+\s.?\"(.*?)"
Código de respuesta	Nee	1	(?:GET\|POST\|CONNECT\|TUNNEL\|HEAD\|PUT\|DELETE\|OPTIONS\|TRACE\|PATCH)\s.*?\s([\d\|-]+)
Serie de consulta de URL	Nee	1	(?:GET\|POST\|CONNECT\|TUNNEL\|HEAD\|PUT\|DELETE\|OPTIONS\|TRACE\|PATCH)\s([^\;\s]+)
UrlHost	Sí	1	(?:(?:http\|ftp\|tcp\|ssl\|https):\/\/)(.*?)(?=$\|\s\|\\\|\"\|\/\|\:\|\\|)
Agente de usuario	Nee	1	(?:GET\|POST\|CONNECT\|TUNNEL\|HEAD\|PUT\|DELETE\|OPTIONS\|TRACE\|PATCH).?\"\s\d+\s\d+\s.?\".?"\s+"(.?)"