Re: maillog.x.bz2 - nemmeste måde at søge i dem på ?

From: Henrik Lund Kramshøj (none@hlk--kramse.dk.lh.bsd-dk.dk)
Date: Tue 02 Oct 2007 - 08:01:42 CEST 

From: Henrik Lund Kramshøj <none@hlk--kramse.dk.lh.bsd-dk.dk>
Subject: Re: maillog.x.bz2 - nemmeste måde at søge i dem på ?
Date: Tue, 2 Oct 2007 08:01:42 +0200
To: bsd-dk@bsd-dk.dk

On 02/10/2007, at 2.02, Phil Regnauld wrote:

> Mikael Syska (mikael) writes:
>>>
>> Er det noget der er effentligt tilgængeligt eller er et bare for
>> "jer" ....
>> ?
>
> Sorry, det er kommercielt (indtil videre). Men jeg vil bare lige
> pege i en mulig retning for hvordan man kan lave den slags arbejde
> nemmere, med en BSD kasse og en syslog eller syslog-ng (syslog-ng
> burde du virkelig kigge på hvis ikke du bruger det i forvejen).
>
>> Jeg tror dog ikke helt mine egenskaber er der til at smække koden
>> sammen til
>> at smide i db, etc. fra freebsd ... webinterface kunne jeg nok
>> strikke
>> sammen i php.
>
> Hvis jeg finder 5 minutter, vil jeg gerne poste her SQL schema og
> Perl programmet der laver arbejdet.
>
> I praksis er det allerede lavet i en general form:
>
> "syslog-ng to mysql"
>
> http://www.vermeer.org/docs/1

Der findes også Prelude IDS, som dog kan meget mere.
http://www.prelude-ids.org/

Den indeholder en LML Log analyzer der kan ret meget med maillog/syslog
og smider events via en central manager til en database

Princippet i loganalysen er at man definerer et regex og trækker
parametre
ud. Disse puttes så ind i databasen efter eget valg, se nedenstående
eksempel fra Postfix.rules.
(kommentaren er blot for at huske hvordan loggen normalt ser ud)

#LOG:May 4 09:26:15 exademo postfix/smtpd[8472]: lost connection
after CONNECT
from localhost[127.0.0.1]
regex=lost connection after (\S+) from [\w\-\.]+\[([\d\.]+)\]; \
classification.text=Mail server suspicious access; \
id=3503; \
revision=1; \
analyzer(0).name=Postfix; \
analyzer(0).manufacturer=www.postfix.org; \
analyzer(0).class=Service; \
assessment.impact.completion=failed; \
assessment.impact.description=Lost connection from $2 after $1 action; \
assessment.impact.type=other; \
assessment.impact.severity=low; \
source(0).node.address(0).category=ipv4-addr; \
source(0).node.address(0).address=$2; \
target(0).service.iana_protocol_name=tcp; \
target(0).service.iana_protocol_number=6; \
target(0).service.port=25; \
target(0).service.name=smtp; \
last;

Den indeholder en del regler til diverse applikationer til
UNIX, dog relativt basal support - men det kan jo udvides efter behov

hlk@pumba:ruleset$ pwd
/etc/prelude-lml/ruleset
hlk@pumba:ruleset$ ls
apc-emu.rules dell-om.rules netapp-ontap.rules
sendmail.rules
arbor.rules f5-bigip.rules netfilter.rules shadow-
utils.rules
arpwatch.rules grsecurity.rules netscreen.rules single.rules
bonding.rules honeyd.rules ntsyslog.rules
sonicwall.rules
cacti-thold.rules httpd.rules openhostapd.rules
spamassassin.rules
checkpoint.rules ipchains.rules pam.rules squid.rules
cisco-asa.rules ipfw.rules pcanywhere.rules ssh.rules
cisco-common.rules linksys-wap11.rules pcre.rules sudo.rules
cisco-css.rules modsecurity.rules portsentry.rules
tripwire.rules
cisco-ips.rules ms-cluster.rules postfix.rules vigor.rules
cisco-router.rules ms-sql.rules proftpd.rules
vpopmail.rules
cisco-vpn.rules nagios.rules qpopper.rules webmin.rules
clamav.rules navce.rules selinux.rules wu-ftp.rules

Jeg bruger eksempelvis selv sudo og ssh reglerne, så jeg kan holde styr
på min administrator ;-)

Alternativt så se på http://loganalysis.org

Mvh

Henrik 

--
Henrik Lund Kramshøj, Follower of the Great Way of Unix
hlk@security6.net, +45 2026 6000 cand.scient CISSP CEH
http://www.security6.net - IPv6, sikkerhed, netværk

This archive was generated by hypermail 2b30 : Wed 31 Oct 2007 - 23:00:01 CET