El 01/07/16 08:51, Alberto José García Fumero escribió:
Siempre serás bienvenido.
Muchas gracias...
Sobre lo de los logs: la idea que te dieron de monitorear con
tail -f /camino/al/log puede ser un comienzo, pero ya sabes que los
logs se vuelcan en disímiles directorios... ¿cuántos tail necesitarías?
Bueno, empezare por ahi... Pero como dices serian muchos tail....
Y te dan disímiles datos, también. No me oriento en cómo habría de ser
una única base de datos, qué (cuántos) campos tendría. Por ejemplo,
cuando escribí almacentrece** (una interfaz web para leer con comodidad
los logs de Ulog guardados en PostgreSQL) tuve que escoger qué campos
presentar y manipular un poco los datos, ya que cuando los datos se
vuelcan a log se escriben distinto de como se escriben en la base
(MySQL, PostgreSQL, la que sea) con el plugin de Ulog.
Cada servicio tendria su propia BD o combinacion de tablas (eso aun no
lo tengo claro del todo)
Por eso preferiría una idea como "unificar en una sola base de datos los
logs de tal tipo provenientes de x máquinas" (por ejemplo, sabiendo que
PfSense te puede exportar sus logs a syslog de otro equipo, unificar
varios logs de varios PfSense de distintas áreas en una sola salida de
syslog que sería analizada por tu aplicación, algo así; necesitarías
ponerle algún tipo de marcador a cada cual). O ídem con los logs de
Squid, tráfico de red, etc.
El viejo proverbio de "el que mucho abarca poco aprieta" tiene
miga...;-)
La idea real es poder correlacionar diferentes eventos en diferentes
sistemas de manera mas facil. Algo como lo que hace OSSIM con su sistema
de correlacion para ataques y vulneravilidades yo lo pienso hacer con
otra mirada mas informativa.
Gracias por todas las ideas
**
el nombre almacentrece se debe a que las amenazas que ven los
administradores de red, igual que los muchachos de Artie, nadie más se
las imagina...
--
Grupo de Usuarios de Tecnologías Libres - Cuba
http://gutl.jovenclub.cu/
--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que está limpio.
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
