mod_log_forensic - Serveur Apache HTTP Version 2.4

Apache Server 2.4

<-

Module Apache mod_log_forensic

Description:Journalisation légale des requêtes envoyées au serveur
Statut:Extension
Identificateur de Module:log_forensic_module
Fichier Source:mod_log_forensic.c
Compatibilité:mod_unique_id n'est plus obligatoire depuis la version 2.1

Sommaire

Ce module permet la journalisation légale des requêtes client. La journalisation s'effectuant avant et après le traitement de la requête, le journal légal contient deux lignes pour chaque requête. Le processus de journalisation légale est très strict, à savoir :

  • Le format est figé. Vous ne pouvez pas modifier le format du journal à l'exécution.
  • S'il ne peut pas enregistrer ses données, le processus enfant se termine aussitôt, et peut éventuellement enregistrer un vidage mémoire (selon la définition de la directive CoreDumpDirectory).

Pour interpréter les données du journal légal, vous pouvez vous aider du script check_forensic qui se trouve dans le répertoire support de la distribution.

Note de traduction : le terme "légal" utilisé dans le présent document ne suggère aucunement que ce module apporte une valeur juridique aux journaux. Il est à comprendre dans le contexte similaire à ce que l'on trouve en analyse medico-légale. En d'autres termes, la finalité de ce module est de simplifier les opérations d'investigation autour du traitement des requêtes par le serveur.
top

Format du journal Forensic

Chaque requête fait l'objet d'une double journalisation. La requête est journalisée une première fois avant son traitement (c'est à dire après la réception des en-têtes). La deuxième entrée du journal est écrite après le traitement de la requête, en fait au moment de la journalisation habituelle.

Un identifiant unique est attribué à chaque requête afin de pouvoir l'identifier. Cette identifiant légal peut faire l'objet d'un enregistrement dans le journal standard en utilisant l'élément de chaîne de format %{forensic-id}n. Si vous utilisez mod_unique_id, c'est l'identifiant qu'il génère qui sera utilisé.

La première partie de la journalisation de la requête enregistre l'identifiant légal, la ligne de la requête et tous les en-têtes reçus séparés par des caractères pipe (|). Voici à titre d'exemple à quoi pourrait ressembler une telle entrée (tout étant rassemblé sur une seule ligne) :

+yQtJf8CoAB4AAFNXBIEAAAAA|GET /manual/de/images/down.gif HTTP/1.1|Host:localhost%3a8080|User-Agent:Mozilla/5.0 (X11; U; Linux i686; en-US; rv%3a1.6) Gecko/20040216 Firefox/0.8|Accept:image/png, etc...

Le caractère plus ('+') de début indique qu'il s'agit de la première entrée de journal pour cette requête. La seconde entrée ne contiendra qu'un caractère moins ('-') suivi de l'identifiant :

-yQtJf8CoAB4AAFNXBIEAAAAA

Le script check_forensic prend comme argument le nom du fichier journal. Il recherche ces paires d'identifiants +/- et affiche un message d'erreur si la journalisation d'une requête n'est pas complète.

top

Considérations à propos de sécurité

Voir le document conseils en matière de sécurité pour des détails sur les raisons pour lesquelles votre sécurité pourrait être compromise si le répertoire dans lequel les fichiers journaux sont stockés sont inscriptibles par tout autre utilisateur que celui qui démarre le serveur.

Les fichiers journaux peuvent contenir des données sensibles comme le contenu des en-têtes Authorization: (qui peuvent contenir des mots de passe) ; ils ne doivent donc être lisibles que par l'utilisateur qui démarre le serveur.

top

Directive ForensicLog

Description:Définit le nom de fichier du journal légal
Syntaxe:ForensicLog nom-fichier|pipe
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_log_forensic

La directive ForensicLog permet de contrôler la journalisation des requêtes à des fins d'analyse légale. Chaque entrée du journal se voit assigner un identifiant unique qui peut être associé à la requête en utilisant la directive CustomLog habituelle. mod_log_forensic crée un élément nommé forensic-id, qui peut être ajouté au journal standard en utilisant l'élément de format %{forensic-id}n.

L'argument, qui permet de spécifier l'emplacement vers lequel le journal légal sera écrit, peut contenir les deux types de valeurs suivants :

nom-fichier
Un nom de fichier relatif au répertoire défini par la directive ServerRoot.
pipe
Le caractère pipe "|", suivi du chemin vers un programme qui recevra les informations de la journalisation sur son entrée standard. Le nom du programme peut être relatif au répertoire défini par la directive ServerRoot.

Sécurité :

Si les journaux sont redirigés vers un programme, ce dernier s'exécutera sous l'utilisateur qui a démarré httpd. Ce sera l'utilisateur root si le serveur a été démarré par root ; vérifiez que le programme est sécurisé ou passe sous le contrôle d'un utilisateur possédant des droits restreints.

Note

Lors de la spécification d'un chemin de fichier sur les plate-formes non-Unix, il faut prendre soin de ne pas oublier que seuls les slashes directs doivent être utilisés, même si la plate-forme autorise l'emploi d'anti-slashes. D'une manière générale, c'est une bonne idée que de n'utiliser que des slashes directs dans les fichiers de configuration.