我希望了解更详细的apache2服务器日志,其中包含每个用户的唯一ssl_session_id,以用于取证原因。我在我的apache2.conf中修改了LogFormat,但它没有记录会话ID。使用apache 2.2.22 - 启用mod_ssl。
当前的LogFormat:
LogFormat "%{%a %m/%d/%Y @ %I:%M:%S.}t%{msec_frac}t %{%p %Z}t %h \"%{SSL_SESSION_ID}e\" (%{X-Forwarded-For}i) > %v:%p \"%r\" %I %D %>s %b %k \"%{Referer}i\" \"%{User-Agent}i\" %u %{User}C %{SessionTracker}C" forensic
也尝试过:
LogFormat "%{%a %m/%d/%Y @ %I:%M:%S.}t%{msec_frac}t %{%p %Z}t %h \"%{SSL_SESSION_ID}x\" (%{X-Forwarded-For}i) > %v:%p \"%r\" %I %D %>s %b %k \"%{Referer}i\" \"%{User-Agent}i\" %u %{User}C %{SessionTracker}C" forensic
日志行如下所示:
Fri 05/20/2016 @ 09:40:33.msec_frac AM CEST 0.0.0.0 "-" (-) > example.com:443 "GET /path/to/the/file.svg HTTP/1.1" 837 440 304 - 35 "-" "Mozilla/5.0 (Windows NT 6.3; WOW64; rv:48.0) Gecko/20100101 Firefox/48.0" - - -
(IP地址,网址,参考资料已经改编)
如何检索ssl_session_id。有没有其他方法可以收集(任何其他)独特的客户信息进行取证分析?
答案 0 :(得分:0)
它表明apache v.2.2.22无法停用ssl_ticket_session。因此,我必须手动执行此操作,以便能够在每次激活ticket_session时记录不属于client_header的ssl_ID。如果停用ticket_session,则客户端每次都必须“握手”。