Analyzator logu firewallu

Petr Šobáň soban na centrum.cz
Pátek Listopad 28 13:18:52 CET 2003 

Dalibor Straka napsal(a):
> Dobry den,
> 
> jiste zarizeni (Server Iron XL/G) je desne hloupe, ale umi posilat logy
> vseho co se v nem deje po siti na jiny pocitac. I ucinil jsem tak a nyni
> je chci zpracovat. Casto se objevuji takoveto zaznamy
> 
> Nov 28 12:42:06 serveriron list 125 denied tcp 147.32.111.24(4411) (Ethernet 25 0003.4b42.3a05) -> 1.2.3.12(135), 1 packets 
> Nov 28 12:42:06 serveriron list 125 denied tcp 147.32.111.24(4412) (Ethernet 25 0003.4b42.3a05) -> 1.2.3.13(135), 1 packets 
> Nov 28 12:42:06 serveriron list 125 denied tcp 147.32.111.24(4414) (Ethernet 25 0003.4b42.3a05) -> 1.2.3.15(135), 1 packets 
> Nov 28 12:42:06 serveriron list 125 denied tcp 147.32.111.24(4415) (Ethernet 25 0003.4b42.3a05) -> 1.2.3.16(135), 1 packets 
> Nov 28 12:42:06 serveriron list 125 denied tcp 147.32.111.24(4416) (Ethernet 25 0003.4b42.3a05) -> 1.2.3.17(135), 1 packets 
> Nov 28 12:42:06 serveriron list 125 denied tcp 147.32.111.24(4417) (Ethernet 25 0003.4b42.3a05) -> 1.2.3.18(135), 1 packets
> Nov 28 12:42:06 serveriron list 125 denied tcp 147.32.111.24(4420) (Ethernet 25 0003.4b42.3a05) -> 1.2.3.21(135), 1 packets 
> Nov 28 12:42:06 serveriron list 125 denied tcp 147.32.111.24(4421) (Ethernet 25 0003.4b42.3a05) -> 1.2.3.22(135), 1 packets 
> Nov 28 12:42:06 serveriron list 125 denied tcp 147.32.111.24(4422) (Ethernet 25 0003.4b42.3a05) -> 1.2.3.23(135), 1 packets 
> Nov 28 12:42:06 serveriron list 125 denied tcp 147.32.111.24(4423) (Ethernet 25 0003.4b42.3a05) -> 1.2.3.24(135), 1 packets
> 
> Koukal jsem na logdog, scan alert, snort atd. Potreboval bych, aby mi
> prislusny program ohlasil ze 147.32.111.24 je zly pocitac, a poslal mi
> mailem jeho IP. Snort neumi analyzovat logy, pouze demonuje. Scan alert
> jsem pouzival AFAIK je pro iptables. Logdog zase umi odchytavat jednu
> zpravu, ale ja potreguji reakci na jiste mnozstvi zprav.
> 
> 
> Kdybyste neco znali...

A co si napsat nějaký svůj skript který budu cronem spouštět ?

Z logu vyfiltruji správy od toho serveriron list no a potom třeba je 
spracovat a akorát poslat dál ->

man cron, man grep, man mail .
Případně si je můžete zobrazovat třeba na http :-)

Já si třeba takto zobrazuji log firewalu :-)


<HTML>
<HEAD>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<TITLE>Log</TITLE>
</HEAD>
<BODY BGCOLOR="#99ccff">
<H1>Log firewalu na mém PC</H1>

<p>

<form action="log.php" METHOD=POST>
Hledat v logu: <input type=text name=retezec value=" <?php echo 
$REMOTE_ADDR; ?> " size=30>
<input type=submit name=tlacitko value="Vyhledat">
<input type=submit name=tlacitko value="Vse">
</form>
<p>Pro požadovanou funkci stiskněte požadované tlačítko a mějte 
trpělivost spracování nějakou dobu trvá </p>
<p>Vysvětlení: SRC= a DST= jsou IP adresy PC zdrojová a cílová, SPT= a 
DPT= jsou použité porty (138 až 139 jsou služby sdílení souborů).</p>
<hr>
<code><pre>
<?php

$jmenoa=TempNam("./", "phplogA");
$jmenob=TempNam("./", "phplogB");


Exec("LANG=C /bin/grep SRC= /var/log/messages > $jmenoa");

if ($tlacitko=="Vyhledat"):
     Exec("LANG=C /bin/grep $retezec $jmenoa > $jmenob");
     ReadFile("$jmenob");
     endif;

if ($tlacitko=="Vse"):
     ReadFile("$jmenoa");
     endif;

Unlink( $jmenoa );
Unlink( $jmenob );


?>
</pre>
</code>
<hr>
</p>
<center>
<A HREF="http://192.168.3.67">zpět</A>.
</center>

</BODY>
</HTML>


-- 

/----------------------------------------\
|            Petr Šobáň                  |
|            Olomouc                     |
|----------------------------------------|
|    ICQ    179223500                    |
\----------------------------------------/

Další informace o konferenci Linux