ocsinventory + ModSecurity + logcheck
Bonjour,
Je fais tourner ocsinventory+GLPI sur un petit serveur web (debian
lenny). Ceci fonctionne parfaitement.
Ce serveur web est notamment protégé par le firewall web ModSecurity.
Ceci fonctionne très bien.
Je fais me remonter certains log par mail à l'aide de logcheck.
Logcheck est bavard, l'intérêt est de filtrer pour ne garder que ce qui
importe vraiment.
Le problème est qu'ocsinventory m'envoie sans doute quelques trames
imparfaites qui me donnent à chaque fois un log du type :
[Wed Aug 18 06:25:04 2010] [error] [client 139.124.176.2] ModSecurity:
Warning. Match of "rx ^OPTIONS$" against "REQUEST_METHOD" required.
[file
"/etc/apache2/conf.d/modsecurity/modsecurity_crs_21_protocol_anomalies.conf"] [line "41"] [id "960015"] [msg "Request Missing an Accept Header"] [severity "CRITICAL"] [tag "PROTOCOL_VIOLATION/MISSING_HEADER"] [hostname "junon.vcharite.univ-mrs.fr"] [uri "/ocsinventory"] [unique_id "TGtgoIt8sDkAABC@B0UAAAAH"]
dans un /var/log/apache2/error.log
seules date, IP client et Id changent
J'aimerais supprimer ce genre de remontés qui constituent 90% des
remontées de logcheck.
3 pistes :
agir au niveau d'ocsinventory-agent sur chaque poste client pour que les
trames soient bien configurées/acceptées. Me semble difficile à mettre
en oeuvre.
Agir au niveau des règles de ModSecurity :
modsecurity_crs_15_user_rules.conf ?
ou celui de modsecurity/modsecurity_crs_21_protocol_anomalies.conf en
virant la règle qui agit ici ? mais je ne veux pas trop toucher mes
règles de base.
Agir au niveau de logcheck
/etc/logcheck/ignore.d.server/<local-rules> ou
/etc/logcheck/violations.ignore.d
??
J'ai essayé pas mal de choses sans succès.
Je cherche de nouvelles idées.
Bien cordialement,
--
-------------------------------
Jean-Paul LACHARME. GREQAM CNRS
UMR 6579
Centre de la Vieille Charité.
2 rue de la Charité.
13236 MARSEILLE CEDEX 2
Tel. 04.91.14.07.68
http://www.vcharite.univ-mrs.fr/GREQAM/
-------------------------------
Reply to: