このスレッドは解決済です(未解決に戻す場合はこちら)
<<戻る

SWATCHでApache2のログ監視 このメッセージに返信する
日時: 2008/12/07 17:23
名前: まさる
URL:
はじめまして。まさると申します。

こちらのサイトを参考にSWATCHでのログ監視を導入し順調に動作しております。
http://centossrv.com/swatch.shtml

質問ですが、SWATCHでApache2のログを監視させ、Apache2のログに
同じIPから2秒以内に3回、" 503 "があればアクセスを24時間禁止とかにすることは
可能なのでしょうか?

ダウンロード支援ツールを禁止しmod_limitipconnを使って拡張子指定で2接続以上の
同時ダウンロードを不可にしておりますが、何度もツールで落そうとする人が多くて
なんとか対応できないかなと考えております。

mod_limitipconnを使うとApacheのアクセスログに「503」がでます。

SWATCHと連携させてアクセス禁止にできたら少しはルールを守ってくれる人が
快適に落せるかなと思ってます。

お知恵をおかし頂ければ幸いです。

宜しくお願い致します。
記事編集 編集

Page: | 1 | 2 |

Re: SWATCHでApache2のログ監視 このメッセージに返信する
日時: 2008/12/14 01:28
名前: stranger
URL: http://ja.528p.com/
>まさるです。
>
>mod_dosdetectorというツールでApacheのErrorログに条件があえば
>[Sun Dec 14 00:11:37 2008] [notice] dosdetector: '***.***.***.***' is suspected as Hard DoS attack!
>と吐かせることができましたが、これをSWATCHで監視する方法がわかりません^^;
>
>ためしに・・・
>#vi /etc/swatch/httpd.conf
>
># logfile /var/log/httpd/error_log
>
># [Hard DoS attack!]を検知したら該当ホストからのアクセスを24時間規制
>watchfor /Hard DoS attack!/
> pipe "/usr/local/bin/swatch_action.sh 10 lock"
> throttle=00:00:10
>
>としてみましたが、下記のメールが届きました。

>SWATCHのログに下記が出てました。
>Sun Dec 14 00:30:45 JST 2008 0 lock!
>/usr/local/bin/swatch_action.sh: line 33: [: -eq: unary operator expected
>/usr/local/bin/swatch_action.sh: line 35: [: -eq: unary operator expected
>/usr/local/bin/swatch_action.sh: line 37: [: -eq: unary operator expected
>/usr/local/bin/swatch_action.sh: line 42: /var/log/swatch/: Is a directory
>cat: /var/log/swatch/: Is a directory
>Try `iptables -h' or 'iptables --help' for more information.
>Bad argument `DROP'
>cat: /var/log/swatch/: Is a directory
>Sun Dec 14 00:35:14 JST 2008 0 lock!
>
>IPがうまく切り出せてないって事でしょうか?

/usr/local/bin/swatch_action.sh 10 lock
の引数 10 でいくと 読み込む文字は suspected になるのでないか
記事編集 編集
Re: SWATCHでApache2のログ監視 このメッセージに返信する
日時: 2008/12/14 15:13
名前: まさる
URL:
まさるです。

strangerさん

>/usr/local/bin/swatch_action.sh 10 lock
>の引数 10 でいくと 読み込む文字は suspected になるのでないか

この返信でやっと理解できました^^;
8にして意図した動作にできました。

ありがとうございます!
記事編集 編集

Page: | 1 | 2 |

件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -