Splunk 通过其 Google Maps 插件实现了此功能,允许您映射系统日志中显示的 IP 地址。这样您就可以精确定位扫描等攻击的地理位置。
你们有什么建议吗?是否可以只使用常规系统日志服务器(如 syslog-ng)或收集日志的系统日志软件来实现这一点?你们如何对系统日志进行反向查找?
我们有一台 ASA 设备,我们想要分析其系统日志以更好地了解外部攻击的位置。
答案1
这些服务使用地理IP数据库来查找 IP 地址到物理位置。有些数据库很便宜,有些则非常昂贵 - 这取决于您想要的粒度级别。
至于如何实际做到这一点,恐怕我无法给出太多解释。我会将每一行提取到数据库中,然后针对 GeoIP 表进行查找 - 但可能有更有效的方法来实现这一点。
答案2
Syslog-ng 能够在日志进入时进行 DNS 查找。
然而,这将增加延迟并降低 syslog 服务器的性能,因为您必须等待 DNS 查找完成才能将日志写入磁盘或转发。
建议使用一些替代选项,例如“本地解析主机名”(记录在此处 -https://www.syslog-ng.com/technical-documents/doc/syslog-ng-open-source-edition/3.30/administration-guide/98#TOPIC-1595234)
最后,您只需将 IP 地址转储到原始日志文件中即可。后处理脚本可以在日志文件上运行,以允许添加 FQDN,因为 DNS 查找不会影响系统日志服务器的性能。