我正在尝试在多台主机上构建一个日志关联系统。
SEC 看起来很有趣,但我不知道它是否能满足我的需求。
如何实时关联多个主机上的系统事件、日志、网络事件等?
例子:
如果最后一分钟在主机 A 上发生了 5 次登录失败,并且防火墙 B 拒绝了 A 上不同端口的大量访问,那么我们假设 A 上可能正在发生攻击。
如果主机 A 上的 Apache 服务在过去 N 分钟内没有收到任何请求,而主机 B 上的 Apache 服务收到了,则负载平衡可能有故障。
答案1
我将使用中央系统日志服务器与fail2ban结合使用:
Fail2ban 扫描日志文件(例如 /var/log/apache/error_log)并禁止显示恶意迹象的 IP(密码错误次数过多、寻求漏洞等)。通常,Fail2Ban 用于更新防火墙规则,以在指定的时间内拒绝 IP 地址,尽管也可以配置任何其他操作(例如发送电子邮件)。开箱即用的 Fail2Ban 附带各种服务(apache、courier、ssh 等)的过滤器。
另一方面,您可以使用 IDS 或 IPS。也有免费的,例如 SNORT。
但是这需要大量的管理、中央网络监控(可能是中央交换机)和 KnowHow,但您可以涵盖更多事件。也许(我以前没有这样做过)您可以使用带有 SNORT 和 SNORBY 的已完成发行版: