Re: maillog.x.bz2 - nemmeste måde at søge i dem på ?

From: Henrik Lund Kramshøj (none@hlk--kramse.dk.lh.bsd-dk.dk)
Date: Tue 02 Oct 2007 - 10:55:57 CEST

Next message: Allan Wermuth: "RE: maillog.x.bz2 - nemmeste måde at søge i dem på ?"
Previous message: Allan Wermuth: "RE: maillog.x.bz2 - nemmeste måde at søge i dem på ?"
In reply to: Allan Wermuth: "RE: maillog.x.bz2 - nemmeste måde at søge i dem på ?"
Next in thread: Allan Wermuth: "RE: maillog.x.bz2 - nemmeste måde at søge i dem på ?"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

From: Henrik Lund Kramshøj <none@hlk--kramse.dk.lh.bsd-dk.dk>
Subject: Re: maillog.x.bz2 - nemmeste måde at søge i dem på ?
Date: Tue, 2 Oct 2007 10:55:57 +0200
To: bsd-dk@bsd-dk.dk

On 02/10/2007, at 9.34, Allan Wermuth wrote:

>
>
>> -----Original Message-----
>> From: owner-bsd-dk@hobbes.bsd-dk.dk
>> [mailto:owner-bsd-dk@hobbes.bsd-dk.dk] On Behalf Of Henrik
>> Lund Kramshøj
>> Sent: Tuesday, October 02, 2007 8:02 AM
>> To: bsd-dk@bsd-dk.dk
>> Subject: Re: maillog.x.bz2 - nemmeste måde at søge i dem på ?
>>
>>
>> Der findes også Prelude IDS, som dog kan meget mere.
>> http://www.prelude-ids.org/
>>
>> Den indeholder en LML Log analyzer der kan ret meget med
>> maillog/syslog
>> og smider events via en central manager til en database
>>
>
>
> Jeg har set nærmere på dokumentationen, men er stadig lidt usikker på
> systemets arkitektur.
>
> Jeg konsoliderer allerede syslog centralt på en loghost, og bruger
> Simple
> Event Correlator (SEC - eksister som modul til Prelude) til match
> af diverse
> hændelser. Fungerer Prelude serveren også som almindelig syslog
> server, så
> jeg f.eks. bare kunne forwarde syslog fra min centrale loghost til
> Prelude,
> eller SKAL man installere prelude-agenten på de servere, som skal
> aflevere
> data? Hvis det er tilfældet, så kan jeg jo nøjes med at installere
> agenten
> på min loghost ;-)
Du skal blot have LML på den server der har logs og den forwarder events
til prelude-manager, den centrale via TLS.

Prelude manager bruger en database, som kan ligge på samme eller anden
maskine.

Prewikka som er Webgui kan ligeledes også ligge på en helt anden
maskine.

Det er en ret god arkitektur med mulighed for relay managers osv.
Sådan ret Enterprise agtigt.

>
> Jeg kunne se en fordel i, at lade min nuværende loghost konsolidere
> data på
> en stor SAN disk, som hidtil, og så forwarde al syslog til Prelude
> serveren,
> hvor jeg så kunne køre diverse *.rules på loggen. Samtidig vil jeg
> jo få
> "foræret" et web-frontend til databasen med events.
jeps

Mit indtryk af Prelude generelt er supergodt, men husk at tune
databasen - mine egne evner som Posgresql admin slog hurtigt igennem :-)

Mvh

Henrik

--
Henrik Lund Kramshøj, Follower of the Great Way of Unix
hlk@security6.net, +45 2026 6000 cand.scient CISSP CEH
http://www.security6.net - IPv6, sikkerhed, netværk

Next message: Allan Wermuth: "RE: maillog.x.bz2 - nemmeste måde at søge i dem på ?"
Previous message: Allan Wermuth: "RE: maillog.x.bz2 - nemmeste måde at søge i dem på ?"
In reply to: Allan Wermuth: "RE: maillog.x.bz2 - nemmeste måde at søge i dem på ?"
Next in thread: Allan Wermuth: "RE: maillog.x.bz2 - nemmeste måde at søge i dem på ?"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

This archive was generated by hypermail 2b30 : Wed 31 Oct 2007 - 23:00:01 CET