Re: Logauswertung (en translation)

To: debian-security@lists.debian.org
Subject: Re: Logauswertung (en translation)
From: prosolutions@gmx.net
Date: Mon, 24 Apr 2006 15:57:22 -0700
Message-id: <[🔎] 20060424225721.GI28666@mini.alaya.net>
Reply-to: prosolutions@gmx.net
In-reply-to: <[🔎] E1FXk3E-0005p4-00@calista.inka.de>
References: <[🔎] e2gg8s$4j9$03$1@news.t-online.com> <[🔎] E1FXk3E-0005p4-00@calista.inka.de>

> My problem is what tool to use to evaluate the logs for attacks
> (e.g. portscans) and notify me by mail?

I know you probably wouldn't want to hear the question, but I'll put it
to you: What for?

I would utilize the logs for the goal of archival.  Particular blocked attacks or portscans occur so often...

Its much better to monitor a counter in order to detect DOS attacks
or configuration errors and if there's concern about intrusion set up a
couple rules to trigger the alarm when its counter is activated
(outgoing connections, connection search for domain controllers...)


> > Mein Problem mit welchem Tool werte ich die Logs auf Angriffe aus (z. b. 
> > Portscans) und maile Sie mir zu.
> 
> Ich weiss, die Frage wolltest du nicht hören, aber ich stelle sie doch mal:
> wozu?
> 
> Ich wuerde die Logs zu Archivzwecken vorhalten. Einzelne geblockte Angriffe
> oder Portscans passieren so oft...
> 
> Viel besser ist es counter zu monitoren um DOS Angriffe oder
> Fehlkonfiguration zu erkennen und wenn man Angst vor Intrusion hat intern
> ein paar Regeln aufzusetzen die Alarme ausloesen wenn deren Counter
> anspringen (ausgeende Verbindungen, Connection Versuche zu Domain
> Controllern...)
> 
> Gruss
> Bernd

Reply to:

References:
- Logauswertung
  - From: "Andreas" <Drizz@gmx.de>
- Re: Logauswertung
  - From: be-news06@lina.inka.de (Bernd Eckenfels)

Prev by Date: Re: Logauswertung
Next by Date: Re: [SECURITY] [DSA 1041-1] New abc2ps packages fix arbitrary code execution
Previous by thread: Re: Logauswertung
Next by thread: UsePAM in /etc/ssh/sshd_config and timing attacks
Index(es):
- Date
- Thread