记录 apache2 ssl 会话 ID 和唯一的客户端值
log apache2 ssl session id and unique client values
出于取证原因,我想使用每个用户的唯一 ssl_session_id 实现更详细的 apache2 服务器日志。我在 apache2.conf 中调整了 LogFormat,但它不记录会话 ID。使用 apache 2.2.22 - mod_ssl 已启用。
当前日志格式:
LogFormat "%{%a %m/%d/%Y @ %I:%M:%S.}t%{msec_frac}t %{%p %Z}t %h \"%{SSL_SESSION_ID}e\" (%{X-Forwarded-For}i) > %v:%p \"%r\" %I %D %>s %b %k \"%{Referer}i\" \"%{User-Agent}i\" %u %{User}C %{SessionTracker}C" forensic
也尝试过:
LogFormat "%{%a %m/%d/%Y @ %I:%M:%S.}t%{msec_frac}t %{%p %Z}t %h \"%{SSL_SESSION_ID}x\" (%{X-Forwarded-For}i) > %v:%p \"%r\" %I %D %>s %b %k \"%{Referer}i\" \"%{User-Agent}i\" %u %{User}C %{SessionTracker}C" forensic
日志行如下所示:
Fri 05/20/2016 @ 09:40:33.msec_frac AM CEST 0.0.0.0 "-" (-) > example.com:443 "GET /path/to/the/file.svg HTTP/1.1" 837 440 304 - 35 "-" "Mozilla/5.0 (Windows NT 6.3; WOW64; rv:48.0) Gecko/20100101 Firefox/48.0" - - -
(IP addr, URL, ref 已修改)
如何检索 ssl_session_id。是否有任何其他方法来收集(任何其他)独特的客户信息以进行取证分析?
好吧,apache v.2.2.22 似乎无法停用 ssl_ticket_session。因此,如果您激活了 ticket_session,我必须手动执行此操作才能每次记录不属于 client_header 的 ssl_ID。随着 ticket_session 停用,客户端每次都必须 "handshake"。
出于取证原因,我想使用每个用户的唯一 ssl_session_id 实现更详细的 apache2 服务器日志。我在 apache2.conf 中调整了 LogFormat,但它不记录会话 ID。使用 apache 2.2.22 - mod_ssl 已启用。
当前日志格式:
LogFormat "%{%a %m/%d/%Y @ %I:%M:%S.}t%{msec_frac}t %{%p %Z}t %h \"%{SSL_SESSION_ID}e\" (%{X-Forwarded-For}i) > %v:%p \"%r\" %I %D %>s %b %k \"%{Referer}i\" \"%{User-Agent}i\" %u %{User}C %{SessionTracker}C" forensic
也尝试过:
LogFormat "%{%a %m/%d/%Y @ %I:%M:%S.}t%{msec_frac}t %{%p %Z}t %h \"%{SSL_SESSION_ID}x\" (%{X-Forwarded-For}i) > %v:%p \"%r\" %I %D %>s %b %k \"%{Referer}i\" \"%{User-Agent}i\" %u %{User}C %{SessionTracker}C" forensic
日志行如下所示:
Fri 05/20/2016 @ 09:40:33.msec_frac AM CEST 0.0.0.0 "-" (-) > example.com:443 "GET /path/to/the/file.svg HTTP/1.1" 837 440 304 - 35 "-" "Mozilla/5.0 (Windows NT 6.3; WOW64; rv:48.0) Gecko/20100101 Firefox/48.0" - - -
(IP addr, URL, ref 已修改)
如何检索 ssl_session_id。是否有任何其他方法来收集(任何其他)独特的客户信息以进行取证分析?
好吧,apache v.2.2.22 似乎无法停用 ssl_ticket_session。因此,如果您激活了 ticket_session,我必须手动执行此操作才能每次记录不属于 client_header 的 ssl_ID。随着 ticket_session 停用,客户端每次都必须 "handshake"。