LINUX.ORG.RU
ФорумAdmin

Анализ аномальной активности в логах


0

1

Посоветуйте анализатор логов, желательно с веб-интерфейсом, который предоставляет отчет об аномальной активности
(например, ssh-flood) + некоторую статистику (например, удачные логины по ssh).

Хочется простое решение с готовыми правилами и мордой. Пока смотрю на checklog.

Спасибо.

Ты просто для мониторинга хочешь или предотврощать ?
Например есть такая вещь, как fail2ban. Если я правильно понял, это должно тебе помочь.

dada ★★★★★
()
Ответ на: комментарий от dada

Ты просто для мониторинга хочешь или предотврощать ?
fail2ban

Спасибо, нет, мне как раз нужно для мониторинга и статистики.

user_2190
() автор топика
Ответ на: комментарий от blind_oracle

logwatch

Спасибо, тоже буду смотреть. Не нашел только веб-морды ни к logwatch, ни к logcheck.

Кстати, что из них лучше?

user_2190
() автор топика
Ответ на: комментарий от Komintern

А в чем плюсы/минусы по сравнению с прочими log*?

user_2190
() автор топика

клиент ossec + отдельная виртуалка с ossim. С настройкой ossec могу подсказать, но с ossim пока реально не разобрался, его похоже начинаю банально огораживать и готовить к интырпрайзу.

ossec клиент может слать логи на сервер ossec ( входит в ossim ). На сервере эти логи сначала проскакивают декодер ( в результате строка бьётся на отдельные поля и опционально присваиваются категории ), затем проверяется на соответствие правилам. ossim играет роль веб-морды и рабочего места безопасника.

router ★★★★★
()
Ответ на: комментарий от router

из аналогов ossec есть samhain, aide и вроде бы tripwire. Из них смотрел только samhain

router ★★★★★
()
Ответ на: комментарий от router

ЗЫ. сервер ossec и без всякой веб-морды может слать письма, правила для этого настраиваются более-менее гибко

router ★★★★★
()
Ответ на: комментарий от ZenitharChampion

Требуется тестирование!

Ну, я могу только по русскому языку :)

и если будет обнаружено какое-либо событие

Я бы сказал «и запуск команд по наступлению заданных пользователем событий» и дал ссылку: http://www.ossec.net/main/manual/manual-active-responses

Она написана Даниэлем Б. Сидом, и доступна

Вроде запятая лишняя.

приобрела Third Brigade и проект OSSEC, также обязуясь оставлять его открытым и свободным.

Думаю, не «обязуясь», а «обещая».

user_2190
() автор топика
Ответ на: комментарий от ZenitharChampion

Ты крут :) Надо тоже начать переводить

Требуется тестирование!

Возможности OSSEC соблюдают некоторые правила PCI DSS.[1]

ИМХО, неудачная фраза, лучше «реализуют часть функционала, требуемого PCI DSS». PCI DSS - набор правил для соответствия уровню безопасности. А администраторы/безопасники должны построить систему, которая будет этим правилам соответствовать. ossec покрывает часть этих требований.

OSSEC состоит из основного приложения, программы-агента для ОС Windows и веб-интерфейса.

Ещё в английском оригинале страницы серьёзная ошибка. Агент есть как для windows, так и для *nix. Просто агент для windows - один проект, а клиент и сервер под *nix - другой проект. А из фразы в вики складывается впечатление что оно только для windows.

вариант ( более-менее корявый ): OSSEC состоит из сервера ( устанавливается на linux/unix ), программы-агента для unix, linux и Windows, веб-интерфейса

Для включения серверного режима основного приложения необходима программа-агент.

неправильный перевод. Лучше так: «для работы агента ossec необходимо наличие сервера ossec». Без сервера агент просто ничего не будет делать

Для наблюдения поддерживаются следующие приложения:

ИМХО, лучше " 'Из коробки' поддерживаются форматы логов следующих приложений:", т.к. речь идёт именно об анализе логов.

router ★★★★★
()
Ответ на: комментарий от router

Скрипты для OSSEC, запущенного без агента (англ.)

Неправильно, но даже не знаю как сформулировать. сервер ossec работает с данными, поступающими от агентов. Но он может и самостоятельно получать информацию, например с цисок, куда агент поставить нельзя. Настройка ossec для работы с удалённой системой без установки на эту систему агента называется «agentless configuration»

М.б., «скрипты для работы ossec с удалённым хостом без установки агента» ?

router ★★★★★
()
11 апреля 2012 г.
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.