Analyzator logu firewallu
Petr Šobáň
soban na centrum.cz
Pátek Listopad 28 13:18:52 CET 2003
Dalibor Straka napsal(a):
> Dobry den,
>
> jiste zarizeni (Server Iron XL/G) je desne hloupe, ale umi posilat logy
> vseho co se v nem deje po siti na jiny pocitac. I ucinil jsem tak a nyni
> je chci zpracovat. Casto se objevuji takoveto zaznamy
>
> Nov 28 12:42:06 serveriron list 125 denied tcp 147.32.111.24(4411) (Ethernet 25 0003.4b42.3a05) -> 1.2.3.12(135), 1 packets
> Nov 28 12:42:06 serveriron list 125 denied tcp 147.32.111.24(4412) (Ethernet 25 0003.4b42.3a05) -> 1.2.3.13(135), 1 packets
> Nov 28 12:42:06 serveriron list 125 denied tcp 147.32.111.24(4414) (Ethernet 25 0003.4b42.3a05) -> 1.2.3.15(135), 1 packets
> Nov 28 12:42:06 serveriron list 125 denied tcp 147.32.111.24(4415) (Ethernet 25 0003.4b42.3a05) -> 1.2.3.16(135), 1 packets
> Nov 28 12:42:06 serveriron list 125 denied tcp 147.32.111.24(4416) (Ethernet 25 0003.4b42.3a05) -> 1.2.3.17(135), 1 packets
> Nov 28 12:42:06 serveriron list 125 denied tcp 147.32.111.24(4417) (Ethernet 25 0003.4b42.3a05) -> 1.2.3.18(135), 1 packets
> Nov 28 12:42:06 serveriron list 125 denied tcp 147.32.111.24(4420) (Ethernet 25 0003.4b42.3a05) -> 1.2.3.21(135), 1 packets
> Nov 28 12:42:06 serveriron list 125 denied tcp 147.32.111.24(4421) (Ethernet 25 0003.4b42.3a05) -> 1.2.3.22(135), 1 packets
> Nov 28 12:42:06 serveriron list 125 denied tcp 147.32.111.24(4422) (Ethernet 25 0003.4b42.3a05) -> 1.2.3.23(135), 1 packets
> Nov 28 12:42:06 serveriron list 125 denied tcp 147.32.111.24(4423) (Ethernet 25 0003.4b42.3a05) -> 1.2.3.24(135), 1 packets
>
> Koukal jsem na logdog, scan alert, snort atd. Potreboval bych, aby mi
> prislusny program ohlasil ze 147.32.111.24 je zly pocitac, a poslal mi
> mailem jeho IP. Snort neumi analyzovat logy, pouze demonuje. Scan alert
> jsem pouzival AFAIK je pro iptables. Logdog zase umi odchytavat jednu
> zpravu, ale ja potreguji reakci na jiste mnozstvi zprav.
>
>
> Kdybyste neco znali...
A co si napsat nějaký svůj skript který budu cronem spouštět ?
Z logu vyfiltruji správy od toho serveriron list no a potom třeba je
spracovat a akorát poslat dál ->
man cron, man grep, man mail .
Případně si je můžete zobrazovat třeba na http :-)
Já si třeba takto zobrazuji log firewalu :-)
<HTML>
<HEAD>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<TITLE>Log</TITLE>
</HEAD>
<BODY BGCOLOR="#99ccff">
<H1>Log firewalu na mém PC</H1>
<p>
<form action="log.php" METHOD=POST>
Hledat v logu: <input type=text name=retezec value=" <?php echo
$REMOTE_ADDR; ?> " size=30>
<input type=submit name=tlacitko value="Vyhledat">
<input type=submit name=tlacitko value="Vse">
</form>
<p>Pro požadovanou funkci stiskněte požadované tlačítko a mějte
trpělivost spracování nějakou dobu trvá </p>
<p>Vysvětlení: SRC= a DST= jsou IP adresy PC zdrojová a cílová, SPT= a
DPT= jsou použité porty (138 až 139 jsou služby sdílení souborů).</p>
<hr>
<code><pre>
<?php
$jmenoa=TempNam("./", "phplogA");
$jmenob=TempNam("./", "phplogB");
Exec("LANG=C /bin/grep SRC= /var/log/messages > $jmenoa");
if ($tlacitko=="Vyhledat"):
Exec("LANG=C /bin/grep $retezec $jmenoa > $jmenob");
ReadFile("$jmenob");
endif;
if ($tlacitko=="Vse"):
ReadFile("$jmenoa");
endif;
Unlink( $jmenoa );
Unlink( $jmenob );
?>
</pre>
</code>
<hr>
</p>
<center>
<A HREF="http://192.168.3.67">zpět</A>.
</center>
</BODY>
</HTML>
--
/----------------------------------------\
| Petr Šobáň |
| Olomouc |
|----------------------------------------|
| ICQ 179223500 |
\----------------------------------------/
Další informace o konferenci Linux