Анализ аномальной активности в логах

Ты просто для мониторинга хочешь или предотврощать ?
Например есть такая вещь, как fail2ban. Если я правильно понял, это должно тебе помочь.

logwatch

Ты просто для мониторинга хочешь или предотврощать ?
fail2ban

Спасибо, нет, мне как раз нужно для мониторинга и статистики.

logwatch

Спасибо, тоже буду смотреть. Не нашел только веб-морды ни к logwatch, ни к logcheck.

Кстати, что из них лучше?

я юзаю набор скриптов logsentry, оно шлет репорты на почту. вебморда - гмыло =)

А в чем плюсы/минусы по сравнению с прочими log*?

клиент ossec + отдельная виртуалка с ossim. С настройкой ossec могу подсказать, но с ossim пока реально не разобрался, его похоже начинаю банально огораживать и готовить к интырпрайзу.

ossec клиент может слать логи на сервер ossec ( входит в ossim ). На сервере эти логи сначала проскакивают декодер ( в результате строка бьётся на отдельные поля и опционально присваиваются категории ), затем проверяется на соответствие правилам. ossim играет роль веб-морды и рабочего места безопасника.

из аналогов ossec есть samhain, aide и вроде бы tripwire. Из них смотрел только samhain

ЗЫ. сервер ossec и без всякой веб-морды может слать письма, правила для этого настраиваются более-менее гибко

Буду смотреть, спасибо.

Заинтересовался OSSEC, сделал перевод статьи на Википедии. Там только 2 абзаца. Требуется тестирование! http://ru.wikipedia.org/wiki/OSSEC

Мицгол, ты?

Требуется тестирование!

Ну, я могу только по русскому языку :)

и если будет обнаружено какое-либо событие

Я бы сказал «и запуск команд по наступлению заданных пользователем событий» и дал ссылку: http://www.ossec.net/main/manual/manual-active-responses

Она написана Даниэлем Б. Сидом, и доступна

Вроде запятая лишняя.

приобрела Third Brigade и проект OSSEC, также обязуясь оставлять его открытым и свободным.

Думаю, не «обязуясь», а «обещая».

Ты крут :) Надо тоже начать переводить

Требуется тестирование!

Возможности OSSEC соблюдают некоторые правила PCI DSS.[1]

ИМХО, неудачная фраза, лучше «реализуют часть функционала, требуемого PCI DSS». PCI DSS - набор правил для соответствия уровню безопасности. А администраторы/безопасники должны построить систему, которая будет этим правилам соответствовать. ossec покрывает часть этих требований.

OSSEC состоит из основного приложения, программы-агента для ОС Windows и веб-интерфейса.

Ещё в английском оригинале страницы серьёзная ошибка. Агент есть как для windows, так и для *nix. Просто агент для windows - один проект, а клиент и сервер под *nix - другой проект. А из фразы в вики складывается впечатление что оно только для windows.

вариант ( более-менее корявый ): OSSEC состоит из сервера ( устанавливается на linux/unix ), программы-агента для unix, linux и Windows, веб-интерфейса

Для включения серверного режима основного приложения необходима программа-агент.

неправильный перевод. Лучше так: «для работы агента ossec необходимо наличие сервера ossec». Без сервера агент просто ничего не будет делать

Для наблюдения поддерживаются следующие приложения:

ИМХО, лучше " 'Из коробки' поддерживаются форматы логов следующих приложений:", т.к. речь идёт именно об анализе логов.

Скрипты для OSSEC, запущенного без агента (англ.)

Неправильно, но даже не знаю как сформулировать. сервер ossec работает с данными, поступающими от агентов. Но он может и самостоятельно получать информацию, например с цисок, куда агент поставить нельзя. Настройка ossec для работы с удалённой системой без установки на эту систему агента называется «agentless configuration»

М.б., «скрипты для работы ossec с удалённым хостом без установки агента» ?

Случайно нашёл ссылки на ещё две программы для сбора и анализа логов. http://graylog2.org/ и http://www.splunk.com/. Первая открытая, вторая закрытая, с версиями для кучи ОС, бесплатна втечение 60 дней.

Спасибо :)