如何利用Nginx日志做安全审计

利用Nginx日志做安全审计可从以下方面入手：

1. 优化日志配置：在nginx.conf中自定义安全日志格式，记录$remote_addr（客户端IP）、$http_user_agent（用户代理）、$request（请求内容）等关键字段，分离敏感路径（如/wp-admin）日志。
2. 日志分析与监控：
   • 基础分析：用grep、awk等工具搜索异常模式，如频繁404错误（可能扫描）、500错误（可能漏洞利用）、异常User-Agent（如包含bot、nmap等）。
   • 工具辅助：使用ELK Stack（实时分析）、GoAccess（可视化报表）、Fail2Ban（自动封禁恶意IP）等工具。
3. 检测攻击行为：
   • Web攻击：通过正则匹配UNION SELECT（SQL注入）、<script>（XSS）、../（目录遍历）等关键词。
   • 暴力破解：统计登录接口（如/wp-login.php）高频失败请求。
   • 异常流量：监控短时间内大量请求（可能DDoS）、非标准端口访问。
4. 自动化防御与响应：
   • 基于日志规则，用iptables或Nginx限速模块（limit_req）动态拦截恶意IP或限制请求速率。
   • 集成WAF（如ModSecurity），根据日志特征自动拦截恶意请求。
5. 日志管理与合规：定期备份日志，确保符合法规要求，通过集中化平台（如Splunk）实现全生命周期管控。