Krzysztof Młynarski <krzysio@security.pl> wrote in
news:mailman.193.1156114405.460.polip@man.lodz.pl:
> http://www.qosient.com/argus/
Arguz wydaje mi sie troche przerosniety jak na potrzeby malej
sieci. (Ale moze sie mysle, przydaly by sie przykladowe raporty
i info jak to wyglada w praktyce).
Wszystko co potrzebuje to logi rotowane co 24 lub 1 godz:
(W zaleznosci od ruchu)
time proto sip[:sport] dip[:port] [nip[:nport]]
Payload nie jest mi potrzebny.. Oczewiscie logowanie jest per flow,
czyli pierwszy pakiet aka "inicjujacy", potem w zaleznosci czy to jest
UDP/TCP/ICMP/GRE/... to mamy odpowiedni czas zycia flowu..
np 30 secs na UDP i 300 na TCP (wszysko konfigurowalne)
Mysle ze cos takiego wystarczy do okreslenia usera.
Received on Mon Aug 21 18:15:09 2006
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Mon 21 Aug 2006 - 18:40:01 MET DST