История изменений

это называется SIEM. тут уже написали про ELK (elastic, logstash, kibana). на прошлой работе собирал в эластик MAC адреса с коммутаторов, DHCP leases, ARP на роутерах, логи антивирусной централизованной консоли, срабатывания IPS (Sophos XG), etc.. а накопив переходил от созерцания к абстракции(Ц) )) - запросы в кибане по паттернам, аггрегированные запросы. правда в одиночку это всё равно не может быть допилено до нормального SIEM но выявлять проблемы помогало.. UPD: логи в итоге отправлял в неизменном виде без парсеров и обработок за некоторыми исключениями дабы при поиске смотреть их такими какими они прилетели в стор

это называется SIEM. тут уже написали про ELK (elastic, logstash, kibana). на прошлой работе собирал в эластик MAC адреса с коммутаторов, DHCP leases, ARP на роутерах, логи антивирусной централизованной консоли, срабатывания IPS (Sophos XG), etc.. а накопив переходил от созерцания к абстракции(Ц) )) - запросы в кибане по паттернам, аггрегированные запросы. правда в одиночку это всё равно не может быть допилено до нормального SIEM но выявлять проблемы помогало