forum.opennet.ru

Составление сообщения

Исходное сообщение

"Представлен проект Lumberjack, нацеленный на модернизацию си..."
Отправлено XoRe, 03-Мрт-12 14:18

Уважаемый, вы бы посмотрели, на какие тезисы я отвечаю)
Там как раз хотели за сутки логи смотреть.
Ротация обычно настроена на сутки.
Если вам нужно за неделю - настройте ротацию на неделю)
>> А если атака в 4 утра?
> Ну так вот мне нравится идея что вкалывают роботы а не человек.
> Идеальный вариант: анализатор логов разгребая логи видит аномалии ("вот этот товарищ
> делает 100 запросов в секунду!") и просто гасит такое сам. Без
> побудки админа в 4 утра. Но с текстовыми простынями это все
> реализовывать геморно и нетривиально получается и работает через те еще грабли.
Вообще если мы говорим про страничку васи пупкина, то сервис один - http.
А логи apache/nginx парсит большое количество программ.
В этом случае откройте для себя log2ban - сам парсит, сам гасит.
>> Если исходить, что атака очень может быть, лучше заранее к ней подготовиться.
> Да, например можно запрячь админа круглосуточно дежурить. А можно анализатора логов. Только
> вот анализатору логов гигантские портянки в которые дописывают без уведомления, и
> формат которых оставляет желать много лучшего в плане удобства разбора и
> которые не заточены на какую либо сортировку и аналитику ибо не
> снабжены индексами - совершенно не удобны. Весь гемор сваливается на анализатор,
> который должен или сам реализовывать каждый раз нормальный индекс, или каждый
> раз читать огромные простыни, скорость данной операции думаю понятна :)
Анализатор логов работает в режиме реального времени.
Разница между чтением текста и бинаря - в микросекундах.
> Мне как и этим господам нужна подсистема логинга покрывающая типовые наборы административных
> операций простыми и быстрыми средствами. Грепать все логи всех демонов за
> неделю, при том что они еще и в разном формате все
> - нифига не быстро и не удобно.
Я бы не назвал выдачу данных о подключении ко всем демонам с одно ip - типовой задачей.
Но вы знаете, что даже с имеющимися средствами вы можете это сделать.
Вы можете настроить rsyslog/syslog-ng на хранение логов в нужном вам формате.
Можно даже настроить, чтобы хранилось по папкам:
/log/year/month/day/hour/service/ip.log
Хотя вы можете ничего не делать, и ждать, пока нужный вам функционал сделают за вас.
Могу добавить, что пока рабочей программы нет, неизвестно, удовлетворит ли ваши нужды её функционал.
Я бы уже сейчас настроил нужный функционал из того, что есть.

Исходное сообщение
"Представлен проект Lumberjack, нацеленный на модернизацию си..." Отправлено XoRe, 03-Мрт-12 14:18
Уважаемый, вы бы посмотрели, на какие тезисы я отвечаю) Там как раз хотели за сутки логи смотреть. Ротация обычно настроена на сутки. Если вам нужно за неделю - настройте ротацию на неделю) >> А если атака в 4 утра? > Ну так вот мне нравится идея что вкалывают роботы а не человек. > Идеальный вариант: анализатор логов разгребая логи видит аномалии ("вот этот товарищ > делает 100 запросов в секунду!") и просто гасит такое сам. Без > побудки админа в 4 утра. Но с текстовыми простынями это все > реализовывать геморно и нетривиально получается и работает через те еще грабли. Вообще если мы говорим про страничку васи пупкина, то сервис один - http. А логи apache/nginx парсит большое количество программ. В этом случае откройте для себя log2ban - сам парсит, сам гасит. >> Если исходить, что атака очень может быть, лучше заранее к ней подготовиться. > Да, например можно запрячь админа круглосуточно дежурить. А можно анализатора логов. Только > вот анализатору логов гигантские портянки в которые дописывают без уведомления, и > формат которых оставляет желать много лучшего в плане удобства разбора и > которые не заточены на какую либо сортировку и аналитику ибо не > снабжены индексами - совершенно не удобны. Весь гемор сваливается на анализатор, > который должен или сам реализовывать каждый раз нормальный индекс, или каждый > раз читать огромные простыни, скорость данной операции думаю понятна :) Анализатор логов работает в режиме реального времени. Разница между чтением текста и бинаря - в микросекундах. > Мне как и этим господам нужна подсистема логинга покрывающая типовые наборы административных > операций простыми и быстрыми средствами. Грепать все логи всех демонов за > неделю, при том что они еще и в разном формате все > - нифига не быстро и не удобно. Я бы не назвал выдачу данных о подключении ко всем демонам с одно ip - типовой задачей. Но вы знаете, что даже с имеющимися средствами вы можете это сделать. Вы можете настроить rsyslog/syslog-ng на хранение логов в нужном вам формате. Можно даже настроить, чтобы хранилось по папкам: /log/year/month/day/hour/service/ip.log Хотя вы можете ничего не делать, и ждать, пока нужный вам функционал сделают за вас. Могу добавить, что пока рабочей программы нет, неизвестно, удовлетворит ли ваши нужды её функционал. Я бы уже сейчас настроил нужный функционал из того, что есть.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Уважаемый, вы бы посмотрели, на какие тезисы я отвечаю) 
> Там как раз хотели за сутки логи смотреть.
> Ротация обычно настроена на сутки.
> Если вам нужно за неделю - настройте ротацию на неделю)

>>> А если атака в 4 утра?
>> Ну так вот мне нравится идея что вкалывают роботы а не человек.
>> Идеальный вариант: анализатор логов разгребая логи видит аномалии ("вот этот товарищ 
>> делает 100 запросов в секунду!") и просто гасит такое сам. Без 
>> побудки админа в 4 утра. Но с текстовыми простынями это все 
>> реализовывать геморно и нетривиально получается и работает через те еще грабли.

> Вообще если мы говорим про страничку васи пупкина, то сервис один - 
> http.
> А логи apache/nginx парсит большое количество программ.
> В этом случае откройте для себя log2ban - сам парсит, сам гасит.

>>> Если исходить, что атака очень может быть, лучше заранее к ней подготовиться.
>> Да, например можно запрячь админа круглосуточно дежурить. А можно анализатора логов. Только 
>> вот анализатору логов гигантские портянки в которые дописывают без уведомления, и 
>> формат которых оставляет желать много лучшего в плане удобства разбора и 
>> которые не заточены на какую либо сортировку и аналитику ибо не 
>> снабжены индексами - совершенно не удобны. Весь гемор сваливается на анализатор, 
>> который должен или сам реализовывать каждый раз нормальный индекс, или каждый 
>> раз читать огромные простыни, скорость данной операции думаю понятна :)

> Анализатор логов работает в режиме реального времени.
> Разница между чтением текста и бинаря - в микросекундах.

>> Мне как и этим господам нужна подсистема логинга покрывающая типовые наборы административных 
>> операций простыми и быстрыми средствами. Грепать все логи всех демонов за 
>> неделю, при том что они еще и в разном формате все 
>> - нифига не быстро и не удобно.

> Я бы не назвал выдачу данных о подключении ко всем демонам с 
> одно ip - типовой задачей.
> Но вы знаете, что даже с имеющимися средствами вы можете это сделать. 
 
> Вы можете настроить rsyslog/syslog-ng на хранение логов в нужном вам формате.
> Можно даже настроить, чтобы хранилось по папкам: 
> /log/year/month/day/hour/service/ip.log

> Хотя вы можете ничего не делать, и ждать, пока нужный вам функционал 
> сделают за вас.
> Могу добавить, что пока рабочей программы нет, неизвестно, удовлетворит ли ваши нужды 
> её функционал.
> Я бы уже сейчас настроил нужный функционал из того, что есть.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру