En el post de hoy vamos a trabajar con la consola de Mod Security. Hemos escrito algún post por aquí trabajando con el popular Web Application Firewall de software libre.
Podemos elegir entre desplegar los ficheros war de la aplicación en un servidor Tomcat existente o usar una versión Standalone que nos proporciona todo lo necesario para ejecutar la consola, incluido Catalina. El proceso de instalación es muy sencillo.
Una vez descargado el proyecto ejecutamos: /opt/AuditConsole/bin/catalina.sh y accedemos a http://address-of-your-server:8080/ con el usuario admin/admin y procedemos a configurar las opciones iniciales, muy intuitivas.
Lo opción inicial que vamos a manejar es la de cargar un fichero .log manualmente, el clásico upload manual.
Comprobamos que se nos ha cargado la información de logs que enviamos con el fichero.
Vamos a configurar un sensor externo, la instalación de nuestro servidor web con Mod Security la cual queremos monitorizar con la consola.
Ahora comprobamos que desde el equipo en el que hemos instalado la consola accedemos al webservices que se encarga de recibir los logs de Mod Security.
http://172.16.100.61:8080/rpc/auditLogReceiver
Podemos modificar el puerto o la ruta desde el script catalina.sh que levanta el servidor de la consola.
En el servidor donde tenemos instalado Mod Security modificamos unas cuantas líneas para hacer que el log se encamine por mlogc hacia nuestro server. Indicamos el fichero de configuración.
En el fichero de configuración de mlogc tenemos que establecer la url y el nombre de usuario y contraseña del sensor que previamente hemos configurado.
Ahora ya podemos ver los eventos de Mod Security en nuestra consola en modo on-line.
Espero que te haya gustado el post y te sea útil, gracias por leerme !!!