Собирать пользовательские IP в одно место

1

5

Хочется собирать ИП адреса, с которых ходили пользователи на кучу разных сервисов в одном месте и как-то оповещать себя о странностях.

Подозреваю, что наверное такое можно сделать на elastic-е или какой-нибудь чудесной системе обнаружения вторжений.

Хочется чего-нибудь простого.

←	ElasticSearch - простое объяснение Span queries и intervals? Есть ли хорошие гайды и примеры по Span queries?

Альтернативные легковесные ci/cd инструменты

→

Очучение, что придется написать парсилки логов на перле, собирать через какой-нибудь mqtt и складывать в базу :)

sergej ★★★★★
(16.05.23 00:54:45 MSK) автор топика

Ответ на: комментарий от sergej 16.05.23 00:54:45 MSK

Для этого уже есть связка filebeat+logstash+elasticsearch+kibana. Все логи будут в распарсеном виде хранится в эластике. Оттуда можешь вытаскивать все что угодно и отправлять куда угодно. Чтоб было меньше ручной работы ковыряясь в базе эластика, в кибане есть сравнительно удобынй KQL при помощи которого можешь фильтровать нужное. Можно даже делать запросы с любой другой проги отправляя POST запрос в кибану и вытаскивать искомое в JSON формате.

Для начала нужно определиться с тем что есть странность в твоем понимании. Потом составить нужные запросы, выполнять их через шедуллер и отправлять уведомление в телегу, мыло или куда удобнее.

iron ★★★★★
(16.05.23 01:26:35 MSK)

Ответ на: комментарий от iron 16.05.23 01:26:35 MSK

грусть-печаль, так не хотелось разбираться с этим эластиком, но наверное придётся :(

sergej ★★★★★
(16.05.23 02:12:17 MSK) автор топика

Ответ на: комментарий от iron 16.05.23 01:26:35 MSK

Для начала нужно определиться с тем что есть странность в твоем понимании.

+1 Сначала нужно сформулировать задачу, а уж потом искать инструмент как её решить. У ТС же похоже на заточку молотка под отвертку.

anc ★★★★★
(16.05.23 03:50:25 MSK)

Ответ на: комментарий от anc 16.05.23 03:50:25 MSK

Сначала нужно сформулировать задачу

На крайней работе у меня была видеостена, по которой нельзя было видеть всей картины маслом, даже удалённо манипулировать системами. Пришлось извращаться и применять нечто самописное. Слава Богу выперли оттуда.

sparkie ★★★★★
(16.05.23 12:09:28 MSK)

tcpdump+ndpireader+influxdb+grafana - это самое простое, если хочешь прям систему обнаружения вторжений то смотри в сторону snort или suricata

Kolins ★★★★★
(16.05.23 12:14:34 MSK)

Ответ на: комментарий от sergej 16.05.23 02:12:17 MSK

Факт, ага. И не забудь посмотреть ещё loki.

targitaj ★★★★★
(16.05.23 12:25:46 MSK)

Ответ на: комментарий от anc 16.05.23 03:50:25 MSK

Задача довольно простая. Хочу чтобы пользователь видел список своих «сессий», как это теперь бывает во всяких модных веб приложениях. Определять странность вобщем-то даже не требуется.

sergej ★★★★★
(16.05.23 13:15:37 MSK) автор топика

это называется SIEM. тут уже написали про ELK (elastic, logstash, kibana). на прошлой работе собирал в эластик MAC адреса с коммутаторов, DHCP leases, ARP на роутерах, логи антивирусной централизованной консоли, срабатывания IPS (Sophos XG), etc.. а накопив переходил от созерцания к абстракции(Ц) )) - запросы в кибане по паттернам, аггрегированные запросы. правда в одиночку это всё равно не может быть допилено до нормального SIEM но выявлять проблемы помогало.. UPD: логи в итоге отправлял в неизменном виде без парсеров и обработок за некоторыми исключениями дабы при поиске смотреть их такими какими они прилетели в стор

VKraft ★★
(16.05.23 13:59:25 MSK)
Последнее исправление: VKraft 16.05.23 14:01:23 MSK (всего исправлений: 1)

←	ElasticSearch - простое объяснение Span queries и intervals? Есть ли хорошие гайды и примеры по Span queries?

Admin

Альтернативные легковесные ci/cd инструменты

→

Похожие темы