¿Cuál es el beneficio de combinar diferentes archivos de registro web con diferentes formatos en términos de seguridad de la aplicación web? En otras palabras, ¿de qué manera la combinación del archivo de registro iis con el archivo de registro de apache ayuda a identificar los ataques?
Lo que está describiendo en su pregunta a menudo se llama Informationfusion . Al poder conectar diferentes fuentes de registros, puede aumentar más fácilmente el conocimiento del contexto de las solicitudes y ayudar a determinar su interpretación.
Cuantos más registros pueda poner en contexto con otros registros e información, más valiosos se vuelven.
Por ejemplo, digamos que todos sus servidores web se envían a un dispositivo central de registro donde su formato está unificado. Una vez que sus registros ahora están unificados, puede usar comandos como:
cat weblogs.tz | cut $ip > ip.txt
netcat whois.cymru.org 43 < ip.txt > result.txt
Y ahora estás sentado en tus usuarios ASN, dirección IP, Nettrange, país y otras cosas interesantes de todos tus servidores web. Yendo un paso más allá, ahora busca clientes sospechosos que visitan sus servidores en patrones que no son normales, tal vez en busca de un ataque enfocado.
Ahora, con todos los registros de su servidor web, también puede buscar más fácilmente en cualquier patrón que se vea en todos o solo en algunos de sus servidores web. Me gusta esta lista de zeltser.com/log-management/security-incident-log-review- lista de verificación :
Si convierte los archivos de registro de IIS al formato Apache, puede ejecutar apache-scalp.googlecode.com en ellos.
Lea otras preguntas en las etiquetas web-application appsec logging