Re: Strumenti per analisi di log

> Oltre a loggare su di un file "dedicato", la mia idea è quella di far
> scrivere gli eventi anche su di un db remoto (pensavo a MySQL).

Secondo me una feature interessante per un rdbms che viene usato per
gestire log sono i trigger, che possono essere sfruttati, prestazioni
permettendo, per la gestione di alert real time. MySQL non ha questa
feature (se non hanno introdotto qualcosa nelle 4.x, che non conosco).

> conoscete qualche strumento di analisi di log, che mi generi dei
> report magari in tempo reale? Ho trovato qualche riferimento a
> fwlogwatch, ma non credo riesca fare analisi ai log in un db...

ACID puo importare i log di iptables tramite logsnorter, come ti ha
gia' detto skull. Se vuoi usare acidlab con ulogd puoi fare in modo
che ulog faccia gli INSERT su una vista che rimappi i campi della
tabella di acid su quelli richiesti da ulog. Il limite di acid sono
le poche info sul pacchetto che vengono gestite.

ulogd-php registra piu' dettagli ma l'interfaccia non mi sembra molto
matura e non puoi centralizzare i log, visto che non mi sembra che
esista la possiblita' di discriminare la provenienza delle righe
mantenendo quel minimo di feature di correlazione che fornisce
l'interfaccia.

In nessun caso potrai registrare l'intero pacchetto, comprensivo del
payload.

Secondo me se hai un minimo di manualita' con php puoi scriverti in
breve tempo un front-end piu' adeguato alle tue esigenze, partendo
dalla struttura delle tabelle nativa di ulogd e differenziando le
varie provenienze discriminandole, magari, usando gli --ulog-prefix.


Fabio


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List