当您查看日志时,您使用什么标准来确定是您(即:您需要加强您的服务器)还是他们(即:他们濒临 DoS)?您认为每秒多少个连接是合理的,为什么?您是否有其他规则(例如:对也推荐垃圾邮件的 IP 进行加权?)
答案1
理想情况下,您不必手动查看日志中的这些迹象,而应该将它们设置为生成自动 SNMP /邮件陷阱的警报阈值,并且在某些情况下启动预防措施。
至于具体规则,每秒连接数或类似值将根据硬件而变化,但持续的高 CPU 利用率 (80%+) 通常会引起关注,内存和磁盘队列长度也是如此。
答案2
在以前的雇主那里,我们使用脚本来监控日志文件的增长情况,如果某一天某个时间段的增长情况异常,就会向系统管理员团队发出警报。在我们设法对其进行调整(即找出某一天/某个季节的某些时间段的正常情况)之前,它发出过几次误报,但过了一段时间,它就运行顺畅了。
答案3
流量模式的变化通常有两种类型。一种是随着你(希望)获得人气而逐渐增加,另一种是因某些事件而突然增加。
突然激增通常会让人们彻夜难眠。这可能是由于您的营销部门推出了一些新的促销活动;被 Dig.com 或类似网站收录;受到某种一般互联网攻击(例如 SQL Slammer [http://en.wikipedia.org/wiki/SQL_slammer_(computer_worm)];或者最可怕的是针对您、您的网站和服务器的定向攻击。
良好的内部沟通将有助于实现第一点,记录推荐人有助于实现第二点,密切关注最新情况有助于实现第三点,制定全面的行动计划有助于实现第四点。
进行日志趋势和异常检测。使用 MRTG、Cacti 或 Nagios 等工具绘制流量模式图 - 最好包括端口号,而不仅仅是输入/输出位。寻找不会触发正常警报的“隐蔽”黑客攻击(阅读“挤压检测”:http://www.amazon.com/Extruding-Detection-Security-Monitoring-Intruments/dp/0321349962以及类似的书籍)。
最重要的是,现在就开始观察,因为一切都很正常,开始了解“正常”是什么样子。了解您的业务——一天/一周/一个月/一年中您最忙的时间是什么时候?开始绘制图表和趋势,这样您就可以参考历史记录——越长越好。