sprawdzanie /var/log i /var/mail/mail - automatyzacja

[jmp37 0]

Witam,

 

Czy istnieją jakieś dedykowane narzędzia które ułatwią przeszukiwanie logów ?

Czasem zaglądam ale ciężko jest to już ogarnąć ze względu na ilość.

 

Pasowało by mi jakieś zautomatyzowane narzędzie które szybko pokarze mi listę zbanowanych ip i ich prób ataku i tym podobnych cudów.

 

 

 

A tak to na razie poruszam się manualnie albo z pomocą grep.

 

Pozdrawiam

jmp

[Gość Mruczek]

logwatch

[Pan Kot 1535]

A z czego korzystasz do "banowania"?

 

Bo np. fail2ban czy lfd mają w swoich configach opcję wysyłania blokad na maila, i może to być zarówno "normalny" mail, jak i ten systemowy - unixowy. W obydwu przypadkach jest łatwiej niż manualnie grepując logi.

[jmp37 0]

fail2ban + psad

 

Maile dostaje do /var/mail/mail od psad i pisze tam np

 

 

=-=-=-=-=-=-=-=-=-=-=-= Sun Mar 29 14:52:44 2015 =-=-=-=-=-=-=-=-=-=-=-=


Danger level: [3] (out of 5)

Scanned TCP ports: [1570: 2 packets]
TCP flags: [sYN: 2 packets, Nmap: -sT or -sS]
iptables chain: INPUT (prefix "INPUT DROP"), 1 packets
iptables chain: INPUT (prefix "netfilter:"), 1 packets

Source: 61.183.128.6
DNS: [No reverse dns info available]

Destination: xxx.xx.xxx.x
DNS: x.ip-xxx-80-xxx.eu

Overall scan start: Thu Mar 19 15:14:19 2015
Total email alerts: 140
Complete TCP range: [1105-9064]
Syslog hostname: vpsxxxxx

Global stats: chain: interface: TCP: UDP: ICMP:
INPUT venet0 285 0 0

[+] Whois Information (source IP):
% [whois.apnic.net]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

% Information related to '61.183.128.0 - 61.183.131.255'

inetnum: 61.183.128.0 - 61.183.131.255
netname: CAPITAL-ONLINE-1
descr: The Internet Service Provider named Capital online
country: CN
admin-c: YZ83-AP
admin-c: ZC77-AP
admin-c: XT6-AP
tech-c: YZ83-AP
tech-c: ZC77-AP
tech-c: XT6-AP
mnt-by: MAINT-CN-CHINANET-HB
status: ASSIGNED NON-PORTABLE
changed: zhangyl@hbdcb.net.cn 20020108
changed: hm-changed@apnic.net 20040927
source: APNIC

person: Xiaowei Tu
address: No.1 Hongshan Road,Wuhan ,China
country: CN
phone: +86-27-87897599
fax-no: +86-27-87894099
e-mail: tuxw@public.wh.hb.cn
nic-hdl: XT6-AP
mnt-by: MAINT-CN-CHINANET-HB
changed: tuxw@public.wh.hb.cn 20010726
source: APNIC

person: YanLing Zhang
nic-hdl: YZ83-AP
e-mail: ip_admin_hb@public.wh.hb.cn
address: 8th floor of JinGuang Building
address: 232# of Macao Road
address: HanKou Wuhan Hubei Province
address: P.R.China
phone: +86-27-65655699
fax-no: +86-27-65654499
country: CN
changed: zhangyl68@public.wh.hb.cn 20031117
mnt-by: MAINT-CN-CHINANET-HB
source: APNIC

person: Zhengding Cai
address: 8th floor of JinGuang Building
address: 232# of Macao Road
address: HanKou Wuhan Hubei Province
address: P.R.China
country: CN
phone: +86-27-82862199
fax-no: +86-27-82861499
e-mail: caizhengding@21cn.com
nic-hdl: ZC77-AP
mnt-by: MAINT-CN-CHINANET-HB
changed: caizhengding@21cn.com 20010306
source: APNIC

% This query was served by the APNIC Whois Service version 1.69.1-APNICv1r0 (UNDEFINED)

 

 

Mnie interesuje coś z łatwym podziałem na skanowanie osobno, próba łamania hasła osobno, itd.

 

Niby na razie mam 684814 lini w pliku mail niby nie wiele ale stale rośnie.

[Pan Kot 1535]

Za dużo zbędnych informacji, nie wiem czy psad ma takie możliwości, ale zmniejszyłbym verbosity, zarówno mój fail2ban jak i lfd ograniczają się do pojedynczych maili z tym co było próbowane, i ew. kilku linii w logach które to potwierdzają (o ile tego chcesz).

[jmp37 0]

Co do ilości informacji to jest dla mnie ok. Mi chodzi o jakieś narzędzie którym teraz to łatwo ogarnę i szybko zobaczę te najgroźniejsze ataki bo moim zdanie skanowanie portów do takich nie należy. A dopiero jak się będe zagłębiał w dany atak takie szczegóły jak ma psad się przydadzą.

[oczkers 0]

To już kolega wyżej zaproponował logwatch chociaż ja tam wole zwykły grep i wc do liczenia