Информация об источнике

Общая информация

NGINX — это высокопроизводительный веб-сервер и обратный прокси, который также может работать как балансировщик нагрузки, HTTP-кэш и сервер для статического контента.

Для SIEM используется как источник веб-аудита, так как фиксирует:

• обращения к страницам и API,
• аутентификацию пользователей,
• попытки подбора пароля и обхода директорий,
• статусы HTTP-ответов (401/403/500),
• ошибки и перезапуски службы.

Документация: https://nginx.org/ru/docs/

Типы собираемых событий

• Access Logs — HTTP-запросы пользователей: URI, метод, статус, IP, user-agent и т.д.
• Error Logs — ошибки, предупреждения и системные события NGINX (в том числе перезапуск, сбой воркера, недоступность бэкенда).
• Auth Events — попытки входа (401 Unauthorized / 403 Forbidden).
• System Notices — события запуска, остановки и перезапуска NGINX (уровень notice).

Способ интеграции

• События доступов (access) сохраняются в файл /var/log/nginx/siem_access.log
• События ошибок и системных уведомлений (error) сохраняются в файл /var/log/nginx/error.log
• RSysylog передает события на Sysylog-server (e.g. SIEM)