Filtrar a diretiva request nos logs do NAXSI

Saulo_Neiva · February 4, 2021, 9:23pm

Olá Pessoal
Estou com um problema a meses e gostaria de uma ajuda de vocês....

Estou usando os logs do NAXSI e não estou conseguinto filtrar no logstash alguns parametros.

2021/02/03 21:53:08 [error] 4464#4464: *13928 NAXSI_FMT: ip=[192.154.198.18](http://192.154.198.18)&server=[www2.casa.com.br](http://www2.casa.com.br)&uri=/&vers=0.56&total_processed=1&total_blocked=1&config=block&cscore0=$SQL&score0=6&cscore1=$XSS&score1=8&zone0=ARGS&id0=1009&var_name0=mod&zone1=ARGS&id1=1013&var_name1=mod, client: [192.154.198.18](http://192.154.198.18), server: [escola.casa.com.br](http://escola.casa.com.br), request: "GET /?mod=ponte.php'A=0&ori=adv&pag=info_proc HTTP/1.1", host: "[www2.casa.com.br](http://www2.casa.com.br)", referrer: "https://www2.casa.com.br/?mod=ponte.php'A=0&ori=adv&pag=info_proc"

Preciso somente desse parametro GET /?

joao · February 4, 2021, 9:34pm

Saulo, como esse esse valore do Log pode ser algo variável eu recomendo usar o GROK junto com o uso de Ruby, pq dae tu pega os primeiros caracteres de um field setado no GROK.

Algo tipo assim ó:

filter {
  grok {
    match => { "message" => "%{GREEDYDATA:foo}\sip=%{IPV4:client_ip}%{GREEDYDATA:hole}\srequest: \"%{DATA:request}\ HTTP%{DATA:http}\"%{GREEDYDATA:bar}" }
  }
  ruby {
    code => "event.set('ataque', event.get('request')[0..5])"
  }

geoip {
        source => "clientip"
    }
}

Vê se te ajuda isso ae.

Saulo_Neiva · February 4, 2021, 10:36pm

Deu certo.

Obrigado João