我正在运行一个RHEL 6 Linux服务器,每天在我的iptables日志上接收大约3000-5000个命中,我希望看到iptables,源地址,源networking名称,端口,命中次数等等的所有命中。
是否有任何先进的iptables 分析工具,可以通过任何Web界面评估服务器的攻击,这是我真正感兴趣的?
如果你想要一个监测工具,可以使用Snortbuild议,另一个开源工具是OSSEC 。
它有很多规则来提供监控networking服务器,邮件服务器,SSH身份validation…当事情看起来很诡异的时候,它会给你发一封电子邮件,而且在configuration的时候也可以阻止这些IP。 他们有服务器 – 客户端模型。 我写了一篇关于如何在这里使用的介绍和指南。
你看过入侵检测系统吗? Snort是一个众所周知的开源IDS。 这个软件可以坐在你的网关上,监视你的stream量,根据不同的标准提出警报/警报。
一个不错的和简单的工具将是fwanalog 。 它基于为Apache日志提供分析的旧模拟软件包。 FWanalog相当快速的安装,并提供了一些不错的防火墙高层次细分。
对于更深入的报告,我会看更像Splunk或OSSEC,这两个都是很好的工具。 但是,FWanalog可以更快地进行设置和试用。