当你浏览你的日志时,你使用什么标准来确定它是否是你(即:你需要加强你的服务器)还是他们(即:它们在DoS上接近)? 你认为有多less连接/秒是合理的?为什么? 你是否还有其他的规则(例如:join了同样转介垃圾邮件的IP?)
理想情况下,您不必手动查看这些标志的日志,应将其设置为生成自动化SNMP /邮件陷阱的警报阈值,并且在某些情况下可采取先发制人的措施。
至于具体的规则,连接数/秒或类似的会根据硬件而有所不同,但一致的高CPU使用率(80%+)通常是值得关注的问题,内存和磁盘队列长度相同。
在以前的雇主中,我们使用脚本来监控日志文件的增长,并警告系统pipe理员团队如果在一天中的某个时间增长exception。 它给了我们一些虚假的警报,直到我们设法调整它(即 – 发现一天中的某些时间/季节通常是什么),但过了一段时间,它运行平稳。
stream量模式通常有两种types的变化。 随着你(希望)逐渐增加人气和某些事件引起的突然激增。
突如其来的激增是通常在晚上让人们起来的。 这可能是由于你的营销部门进行了一些新的推广。 在Dig.com或类似网站上获取; 受到某种普通的networking攻击,例如SQL Slammer [ http://en.wikipedia.org/wiki/SQL_slammer_(computer_worm) ]; 或者是所有针对你,你的网站和服务器的直接攻击都是最吓人的。
良好的内部沟通将有助于第一个,第二个引用,第三个,第三个和第四个全面的行动计划。
做日志趋势和exception检测。 使用诸如MRTG,仙人掌或Nagios(等等)的工具来绘制您的stream量模式 – 最好包括端口号,而不仅仅是input/输出位。 寻找“雷达下的”黑客企图,不会引发正常的警报铃声(请阅读Extrusion Detection: http : //www.amazon.com/Extrusion-Detection-Security-Monitoring-Intrusions/dp/0321349962和类似的书)。
大多数人都是在事情正常的时候开始寻找,并开始感受“正常”的样子。 知道你的生意 – 什么时间是你每天/每周/每月/每年的忙碌时间? 开始绘图和趋势,所以你有一个历史可以参考 – 时间越长越好。