我目前正试图查看我们的Apache Web服务器(httpd)是否符合STIG Finding WG242 A22 。 这个页面有一个LogFormat的例子,如下所示:
LogFormat "%a %A %h %H %l %m %s %t %u %U \"%{Referer}i\" " combined 我们正在使用,
LogFormat "%h %l %u %t \"%r\" %>s %b" common
如果我们的服务器中使用的日志格式与STIG页面中的日志格式不匹配,是否会违反STIG ? 或者STIG只是说“你必须有访问日志文件,格式可以是你喜欢的任何东西”。
从相关的STIG要求的总结:
本STIG中指定的所有指令都必须进行专门的设置
所以不,只logging“你喜欢的任何东西”是不够的…
V-13688说:
要logging的项目如httpd.conf文件中此示例行所示:
LogFormat "%a %A %h %H %l %m %s %t %u %U \"%{Referer}i\" " combined如果Web服务器未configuration为捕获所有站点和虚拟目录所需的审计事件 ,则这是一个发现 。
使用您当前的LogFormat设置,您不会捕获所有必需的事件 (您没有loggingIP地址,省略了所需的Referer头并且丢失了更多),这将是一个发现。
查找: V-13688
严重性:中等
标题:日志文件数据必须包含所需的数据元素。
说明:日志文件的使用是国防部使用的信息系统(IS)运行的关键组成部分,可以为损害评估提供宝贵的帮助,…
可以说,您仍然可以以不同的顺序自由logging所需的审计事件(所提供的LogFormat行只是一个示例),您可以logging更多的请求特征 。 所需的审计事件仅指定日志应包含的最小细节 。 但是在那里疯狂之前,组合的LogFormat得到很多工具的很好的支持,并且与传统的格式有所不同,实际上可能会降低日志在这方面的实际价值。