Apache

使用 IBM 安全 QRadar Apache 内容扩展密切监控您的 Apache 服务器。

重要信息: 为了避免此内容扩展中的内容错误，请使关联的 DSM 保持最新。 DSM 作为自动更新的一部分进行更新。如果未启用自动更新，请从 IBM® Fix Central (https://www.ibm.com/support/fixcentral) 下载最新版本的相关 DSM。

配置 Apache DSM

此内容扩展需要将 Apache 配置文件的 LogFormat 行更改为:


LogFormat "%h %A %l %u %t \"%r\" %>s %p %b \"%{Referer}i\" \"%{User-agent}i\" %a %I %O %D" <log_format_name>

其中，<日志格式名称>是您提供的用于定义自定义日志格式的变量名称。

有关配置 Apache HTTP Server DSM 的更多信息，请参阅使用 syslog 配置 Apache HTTP Server (https://www.ibm.com/docs/en/SS42VS_DSM/com.ibm.dsm.doc/t_DSM_guide_apache_cfg_syslog.html) 或使用 syslog-ng 配置 Apache HTTP Server (https://www.ibm.com/docs/en/SS42VS_DSM/com.ibm.dsm.doc/t_DSM_guide_apache_cfg_syslogng.html)。

IBM Security QRadar Apache 内容扩展 1.0.3

下表显示了在 IBM、安全 QRadar、 Apache、内容扩展 1.0.3 中更新的自定义属性。

表 1. IBM Security QRadar Apache Content Extension 1.0.3 中的定制属性
旧物业名称	新物业名称
UrlHost	URL 主持人
客户数据包	发送包数
始发主机	发送方主机
BytesSent	已发送的字节数
BytesReceived	已接收的字节数
URL	URL 引用

IBM Security QRadar Apache 内容扩展 1.0.2

下表显示了 IBM Security QRadar Apache Content Extension 1.0.2中的定制属性。

表 2. IBM 安全性 QRadar Apache 内容扩展 1.0.2 中的定制属性
名称	已优化	捕获组	正则表达式
BytesReceived	是	1	(? :GET\|POST\|CONNECT\|TUNNEL\|HEAD\|PUT\|DELETE\|OPTIONS\|TRACE\|PATCH). * ?" \s\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\s + ([\d \|-] +)
BytesSent	是	1	(? :GET\|POST\|CONNECT\|TUNNEL\|HEAD\|PUT\|DELETE\|OPTIONS\|TRACE\|PATCH). ?" \s\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\s +. ?\s + ([\d \|-] +)
始发主机	是	1	(? :GET\|POST\|CONNECT\|TUNNEL\|HEAD\|PUT\|DELETE\|OPTIONS\|TRACE\|PATCH). * ?" \s (\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})
服务器响应时间	是	1	(? :GET\|POST\|CONNECT\|TUNNEL\|HEAD\|PUT\|DELETE\|OPTIONS\|TRACE\|PATCH). ?" \s\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\s +. ?\s +. * ?\s + ([\d \|-] +)

IBM Security QRadar Apache 内容扩展 1.0.1

下表显示了 IBM Security QRadar Apache Content Extension 1.0.1中的定制属性。

表 3. IBM 安全性 QRadar Apache 内容扩展 1.0.1 中的定制属性
名称	已优化	捕获组	正则表达式
URL	是	1	(? :GET\|POST\|CONNECT\|TUNNEL\|HEAD\|PUT\|DELETE\|OPTIONS\|TRACE\|PATCH). * ?\" \s\d + \s\d + \s. ? \" (. ?) "
服务器响应时间	是	1	(? :GET\|POST\|CONNECT\|TUNNEL\|HEAD\|PUT\|DELETE\|OPTIONS\|TRACE\|PATCH). ? \d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\s +. ?\s +. * ?\s + ([\d \|-] +)

IBM Security QRadar Apache Content Extension 1.0.0

下表显示了 IBM Security QRadar Apache Content Extension 1.0.0中的定制属性。

表4。 IBM 安全性 QRadar Apache 内容扩展 1.0.0 中的定制属性
名称	已优化	捕获组	正则表达式
BytesReceived	是	1	(? :GET\|POST\|CONNECT\|TUNNEL\|HEAD\|PUT\|DELETE\|OPTIONS\|TRACE\|PATCH). *? \d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\s + ([\d \|-] +)
BytesSent	是	1	(? :GET\|POST\|CONNECT\|TUNNEL\|HEAD\|PUT\|DELETE\|OPTIONS\|TRACE\|PATCH). ? \d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\s +. ?\s + ([\d \|-] +)
方法	否	1	(GET \| POST \| CONNECT \| TUNNEL \| HEAD \| PUT \| DELETE \| OPTIONS \| TRACE \| PATCH)
始发主机	是	1	(? :GET\|POST\|CONNECT\|TUNNEL\|HEAD\|PUT\|DELETE\|OPTIONS\|TRACE\|PATCH). *? (\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})
发送包数	否	1	(? :GET\|POST\|CONNECT\|TUNNEL\|HEAD\|PUT\|DELETE\|OPTIONS\|TRACE\|PATCH). *? \d + \s + \d + \s + ([\d \|-] +) \s
URL	否	1	(? :GET\|POST\|CONNECT\|TUNNEL\|HEAD\|PUT\|DELETE\|OPTIONS\|TRACE\|PATCH). * ?\" \s\d + \s\d + \s. ? \" (. ?) "
响应代码	否	1	(? :GET\|POST\|CONNECT\|TUNNEL\|HEAD\|PUT\|DELETE\|OPTIONS\|TRACE\|PATCH) \s. * ?\s ([\d \|-] +)
URL	否	1	(? :GET\|POST\|CONNECT\|TUNNEL\|HEAD\|PUT\|DELETE\|OPTIONS\|TRACE\|PATCH) \s ([^ \; \s] +)
UrlHost	是	1	(?: (? :http\|ftp\|tcp\|ssl\|https): \/\/) (. *?) (?=$\| \s \| \\ \| \" \| \/ \| \: \| \\|)
用户代理	否	1	(? :GET\|POST\|CONNECT\|TUNNEL\|HEAD\|PUT\|DELETE\|OPTIONS\|TRACE\|PATCH). * ?\" \s\d + \s\d + \s. * ?\". * ?" \s + "(. *?)"