現在このWebサーバをCentOS 8.1からUbuntu 20.04へ移行中です。

サーバの設定もほぼ完了したのでlogwatchというログを監査するパッケージを入れました。

CentOS 8.1ではLogwatch 7.4.3 (04/27/16)を使っていました。毎日、Webサーバーのログを解析して、次のようにWebサーバのエラーレスポンスコードがレポートされるようになっていました。

1

Requests with error response codes   400 Bad Request      null: 12 Time(s)      /: 1 Time(s)　　：

このレポートをみると、外部からどのようなWebアクセス試行（攻撃？）があるのかがわかります。

Ubuntu 20.04ではLogwatch 7.5.2 (07/22/19)にバージョンがあがったためか、これまでのようなエラーレスポンスコードがレポートされなくなってしまいました。

Logwatchのソースをみたところ、HTTPのエラーレスポンスコードを表示する処理が変更されていて、詳細レベルがLow($detail=0)の場合はこの処理がスキップされるようになっていました。

1

##  List error response codes#if (keys %needs_exam and ($detail or $a5xx_resp)) {   print "\nRequests with error response codes\n";      :

CentOS 8.1の古いLogwatch 7.4.3ではこのチェックがないので常にレポートされます。

1

##  List error response codes#if (keys %needs_exam) {   print "\nRequests with error response codes\n";      :

logwatch.confで詳細レベルをHighやMidに設定することで、以前と同様なエラーレポートが出力され問題は解決したのですが、2016年の時点では許容できていたアクセス試行の回数が、2019年では許容できる量を超えてしまい、Lowでは表示しないように仕様が変更されてしまったわけです。

インターネットに公開されているWebサーバに対する攻撃が増加しているのが、このようなところからも読み取れます。