Siguiendo esta pregunta, ya que las respuestas tienen ahora 5 años: ¿Puedo detectar ataques de aplicaciones web? ¿Viendo mi archivo de registro de Apache?
Mi jefe me ha encargado analizar nuestros archivos access.log y error.log después de un intento de ataque de inyección de mySQL la semana pasada. Es bastante obvio cuando se ven los registros a mano, pero nos gustaría algo automatizado (ya sea un servicio o una tarea que pueda ejecutarse regularmente a través de cron) que detectará patrones de ataque.
Estamos usando nginx, pero eso no debería importar porque los registros están en formato estándar. ¿Alguna sugerencia sobre los programas que hacen este tipo de análisis de registro? No me importa el análisis de tráfico estándar que hacen los programas como Webalyzer.
Además, para aquellos de ustedes que realizan este tipo de detección y análisis de ataques, ¿qué patrones está buscando en sus archivos de registro aparte de una cantidad de tráfico mayor a la normal?
También, ¿te fijas en access.log y error.log o solo en uno?