Apache

Utilizzate l'estensione IBM Security QRadar Apache Content Extension per monitorare da vicino i vostri server Apache.

Importante per evitare errori di contenuto in questa estensione di contenuto, tenere aggiornati i DSM associati. I DSM vengono aggiornati come parte degli aggiornamenti automatici. Se gli aggiornamenti automatici non sono abilitati, scaricare la versione più recente dei DSM associati da IBM® Fix Central (https://www.ibm.com/support/fixcentral).

Configurare il DSM Apache

Questa estensione del contenuto richiede una modifica alla riga LogFormat del file di configurazione Apache per:


LogFormat "%h %A %l %u %t \"%r\" %>s %p %b \"%{Referer}i\" \"%{User-agent}i\" %a %I %O %D" <log_format_name>

Dove <nome formato log> è un nome di variabile fornito dall'utente per definire il formato di log personalizzato.

Per ulteriori informazioni sulla configurazione di Apache HTTP Server DSM, vedere Configurazione di Apache HTTP Server con syslog (https://www.ibm.com/docs/en/SS42VS_DSM/com.ibm.dsm.doc/t_DSM_guide_apache_cfg_syslog.html) o Configurazione di Apache HTTP Server con syslog-ng (https://www.ibm.com/docs/en/SS42VS_DSM/com.ibm.dsm.doc/t_DSM_guide_apache_cfg_syslogng.html).

IBM Security QRadar Apache Content Extension 1.0.3

La tabella seguente mostra le proprietà personalizzate aggiornate in IBM Sicurezza QRadar Apache Estensione del contenuto 1.0.3.

Tabella 1. Proprietà personalizzate in IBM Security QRadar Apache Content Extension 1.0.3
Nome della vecchia proprietà	Nome della nuova proprietà
UrlHost	URL Ospite
Pacchetti per il cliente	Pacchetti inviati
Host di origine	Host mittente
BytesSent	Byte inviati
BytesReceived	Byte ricevuti
URL di riferimento	URL Referente

IBM Security QRadar Apache Content Extension 1.0.2

La seguente tabella mostra le proprietà personalizzate in IBM Security QRadar Apache Content Extension 1.0.2.

Tabella 2. Proprietà personalizzate in IBM Security QRadar Apache Content Extension 1.0.2
Nome	Ottimizzato	Gruppo di cattura	Regex
BytesReceived	Sì	1	(? :GET\|POST\|CONNECT\|TUNNEL\|HEAD\|PUT\|DELETE\|OPTIONS\|TRACE\|PATCH). * ?" \s\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\s + ([ \d \| -] +)
BytesSent	Sì	1	(? :GET\|POST\|CONNECT\|TUNNEL\|HEAD\|PUT\|DELETE\|OPTIONS\|TRACE\|PATCH). ?" \s\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\s +. ?\s + ([ \d \| -] +)
Host di origine	Sì	1	(? :GET\|POST\|CONNECT\|TUNNEL\|HEAD\|PUT\|DELETE\|OPTIONS\|TRACE\|PATCH). * ?" \s (\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})
Tiem risposta server	Sì	1	(? :GET\|POST\|CONNECT\|TUNNEL\|HEAD\|PUT\|DELETE\|OPTIONS\|TRACE\|PATCH). ?" \s\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\s +. * ?\s +. * ?\s + ([ \d \| -] +)

IBM Security QRadar Apache Content Extension 1.0.1

La seguente tabella mostra le proprietà personalizzate in IBM Security QRadar Apache Content Extension 1.0.1.

Tabella 3. Proprietà personalizzate in IBM Security QRadar Apache Content Extension 1.0.1
Nome	Ottimizzato	Gruppo di cattura	Regex
URL di riferimento	Sì	1	(? :GET\|POST\|CONNECT\|TUNNEL\|HEAD\|PUT\|DELETE\|OPTIONS\| trace\|patch). * ?\" \s\d + \s\d + \s. ? \" (. ?) "
Tempo di risposta server	Sì	1	(? :GET\|POST\|CONNECT\|TUNNEL\|HEAD\|PUT\|DELETE\|OPTIONS\|TRACE\|PATCH). ? \d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\s +. ?\s +. * ?\s + ([ \d \| -] +)

IBM Security QRadar Apache Content Extension 1.0.0

La seguente tabella mostra le proprietà personalizzate in IBM Security QRadar Apache Content Extension 1.0.0.

Tabella 4. Proprietà personalizzate in IBM Security QRadar Apache Content Extension 1.0.0
Nome	Ottimizzato	Gruppo di cattura	Regex
BytesReceived	Sì	1	(? :GET\|POST\|CONNECT\|TUNNEL\|HEAD\|PUT\|DELETE\|OPTIONS\|TRACE\|PATCH). *? \d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\s + ([ \d \| -] +)
BytesSent	Sì	1	(? :GET\|POST\|CONNECT\|TUNNEL\|HEAD\|PUT\|DELETE\|OPTIONS\|TRACE\|PATCH). ? \d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\s +. ?\s + ([ \d \| -] +)
Metodo	N	1	(GET \| POST \| CONNECT \| TUNNEL \| HEAD \| PUT \| DELETE \| OPTIONS \| TRACE \| PATCH)
Host di origine	Sì	1	(? :GET\|POST\|CONNECT\|TUNNEL\|HEAD\|PUT\|DELETE\|OPTIONS\|TRACE\|PATCH). * (\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})
Pacchetti inviati	N	1	(? :GET\|POST\|CONNECT\|TUNNEL\|HEAD\|PUT\|DELETE\|OPTIONS\|TRACE\|PATCH). *? \d + \s + \d + \s + ([ \d \| -] +) \s
URL di riferimento	N	1	(? :GET\|POST\|CONNECT\|TUNNEL\|HEAD\|PUT\|DELETE\|OPTIONS\| trace\|patch). * ?\" \s\d + \s\d + \s. ? \" (. ?) "
Codice di risposta	N	1	(? :GET\|POST\|CONNECT\|TUNNEL\|HEAD\|PUT\|DELETE\|OPTIONS\|TRACE\|PATCH) \s. * ?\s ([ \d \| -] +)
Stringa di query URL	N	1	(? :GET\|POST\|CONNECT\|TUNNEL\|HEAD\|PUT\|DELETE\|OPTIONS\|TRACE\|PATCH) \s ([ ^ \; \s] +)
UrlHost	Sì	1	(?: (? :http\|ftp\|tcp\|ssl\|https): \/\/) (. *?) (?=$\| \s \| \\ \| \" \| \/ \| \: \| \\|)
Agent utente	N	1	(? :GET\|POST\|CONNECT\|TUNNEL\|HEAD\|PUT\|DELETE\|OPTIONS\|TRACE\|PATCH). * ?\" \s\d + \s\d + \s. * ?\". * ?" \s + "(. *?)"