Re: centralne repozytorium logow

Autor: Bartek Siebab <bs_at_vt.pl>
Data: Thu 26 May 2005 - 15:16:18 MET DST
Message-ID: <d74igi$fdt$1@nemesis.news.tpi.pl>
Content-Type: text/plain; charset=ISO-8859-2; format=flowed

Dariusz Kiszkiel dnia 2005-05-26 14:53:

> Niby tak... W sumie zależy od polityki jaką stosuje firma...
> Właściwie chodziło mi głównie o to, że praktycznie niemożliwa jest ocena
> przydatności informacji, a tym samym ich selekcja, przed zaistnieniem
> sytuacji pod kątem której dane te miałyby być analizowane. Przykład z
> drukowaniem. Dosyc łatwo można ułożyc hipotetyczny scenariusz w którym
> właśnie informacje o tym kto, co i kiedy drukował, mogą okazać się gardłowe.

Masz rację, tyle że to mi załatwia dziennik trzymany na maszynie.

> To samo dotyczy np. archiwizacji korespondencji elektronicznej.

Wkraczasz na śliskie obszary ;)

> A skoro pisałeś o centralnej bazie wszystkich logów, to myślałem, że
> chodziło Ci o kompleksowe składowanie "naprawdę wszystkich logów".... :)

Pisząc ,,repozytorium'' miałem na myśli bazę analityczną do przeprowadzania
raportowania i wychwytywania szkodliwych/nieporządanych/podejrzanych
zachowań w sieci, ewentualne dowody i tak do wzięcia z dzienników maszyn.

> Stąd moje trzy gorsze na temat backupowania tylko wyselekcjonowanych
> zdarzeń.

Nie o kompletne backupowanie wszystkich logów mi tu chodzi.
To mi robią procedury archiwizujące na maszynach.
Repozytorium potrzebuję praktycznie i wyłacznie do analiz.
Choć jeśli by było na tyle sprawne jak tego oczekuję
to niewątpliwie wygodne by było robienie backupu logów
tylko z tegoż repozytorium. Problemem może być tylko
objętość bazy i miejsca na dyskach które pod nią będzie potrzebne,
zajętość sieci przesyłanymi komunikatami oraz wydajność samej
maszyny zbierającej logi w bazie + ewentualne obciążenie
analizami, raportami itp. działaniami.

Póki co interesującym wydaje się syslog daemon:
http://www.netal.com/sl4nt.htm
co prawda komercyjny (95$ za licencję) ale ma sporo
ciekawych możliwości i nie wymaga licencji na klientów
a ma wsparcie przez odbc do baz sql.

Jest wersja ewaluacyjna 60cio dniowa więc spokojnie wystarczy
do przetestowania nawet w rzeczywistym środowisku.

Jeszcze dziś stestuję sobie na domowych pecetach
zbieranie zdarzeń w postgresową bazkę na windzie. 

-- 
.---------- --------  ------ ----  ---- --- - -- -
| Bartek `saphire` Siebab http://bartek.siebab.net
Received on Thu May 26 15:20:20 2005

To archiwum zostało wygenerowane przez hypermail 2.1.8 : Thu 26 May 2005 - 15:42:11 MET DST