Subject: RE: maillog.x.bz2 - nemmeste måde at søge i dem på ? Date: Tue, 2 Oct 2007 09:34:32 +0200 From: "Allan Wermuth" <none@alw--sdu.dk.lh.bsd-dk.dk> To: <none@bsd-dk--bsd-dk.dk.lh.bsd-dk.dk>
> -----Original Message-----
> From: owner-bsd-dk@hobbes.bsd-dk.dk
> [mailto:owner-bsd-dk@hobbes.bsd-dk.dk] On Behalf Of Henrik
> Lund Kramshøj
> Sent: Tuesday, October 02, 2007 8:02 AM
> To: bsd-dk@bsd-dk.dk
> Subject: Re: maillog.x.bz2 - nemmeste måde at søge i dem på ?
>
>
> Der findes også Prelude IDS, som dog kan meget mere.
> http://www.prelude-ids.org/
>
> Den indeholder en LML Log analyzer der kan ret meget med
> maillog/syslog
> og smider events via en central manager til en database
>
Jeg har set nærmere på dokumentationen, men er stadig lidt usikker på
systemets arkitektur.
Jeg konsoliderer allerede syslog centralt på en loghost, og bruger Simple
Event Correlator (SEC - eksister som modul til Prelude) til match af diverse
hændelser. Fungerer Prelude serveren også som almindelig syslog server, så
jeg f.eks. bare kunne forwarde syslog fra min centrale loghost til Prelude,
eller SKAL man installere prelude-agenten på de servere, som skal aflevere
data? Hvis det er tilfældet, så kan jeg jo nøjes med at installere agenten
på min loghost ;-)
Jeg kunne se en fordel i, at lade min nuværende loghost konsolidere data på
en stor SAN disk, som hidtil, og så forwarde al syslog til Prelude serveren,
hvor jeg så kunne køre diverse *.rules på loggen. Samtidig vil jeg jo få
"foræret" et web-frontend til databasen med events.
mvh
Allan Wermuth
This archive was generated by hypermail 2b30 : Wed 31 Oct 2007 - 23:00:01 CET