Re: Documentacion sobre logs
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
On Thursday 14 November 2002 12:30, igsainz-aja@telefonica.net wrote:
> Hola a todos ,
>
> Agradeceria cualquier tipo de documentacion sobre como monitorear los
> mensajes de log.
> Mi idea es que , por ejemlo, me salga un mensaje en la consola cuando
> alguien intente conectarse por ssh , o que me avise cuando me estan
> haciendo un escaneo de puertos, ...
>
> No tengo ni idea sobre el tema, por lo que agradeceria cualquier ayuda
Puedes empezar con un apt-cache search log | egrep 'monitor|watch'
de los que yo conozco tendrías:
swatch y xlogmaster, demonios que admiten el uso de expresiones regulares y
buscan cadenas en los logs, haciendo pulling (intervalos más o menos cortos o
tirando de un tail -f ( tiempo real por acceso a fichero )
En cualquier caso es mucho más probable que snort se ajuste más a lo que
buscas que un monitor de logs que no se suele utilizar para detectar
intrusiones, son útiles para detectar problemas de red, mal funcionamiento de
aplicaciones, filtrar líneas repetidas y carentes de información útil o
completamente normales....
Lo que tu quieres hacer se suele dejar en manos de un detector de intrusiones
que no depende de la existencia física de ficheros y que está pensando para
ofrecer una fiabilidad mayor ante una brecha de seguridad....
Description: Flexible NIDS (Network Intrusion Detection System)
Snort is a libpcap-based packet sniffer/logger which can be used as a
lightweight network intrusion detection system. It features rules
based logging and can perform content searching/matching in addition
to being used to detect a variety of other attacks and probes, such
as buffer overflows, stealth port scans, CGI attacks, SMB probes, and
much more. Snort has a real-time alerting capability, with alerts being
sent to syslog, a separate "alert" file, or even to a Windows computer
via Samba.
>
> Un saludo y gracias.
un saludo
Victor
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org
iD8DBQE904+nEzqHF8R72ekRAtsjAJ44ZaxchYfsw/k0sis9iKNwCzoWVACggH7N
8XGdFn+zlI+o9DvBRv0J5pQ=
=qTPw
-----END PGP SIGNATURE-----
Reply to: