我已经build立了一个运行splunk的日志服务器。 我ping了其中一个客户端使用回溯….这是否也生成日志这是发送日志服务器??????
我想检测端口扫描…在任何客户端..如何做到这一点?
客户端是Ubuntu的机器,服务器也就是系统日志服务器
这取决于客户端上的防火墙,甚至没有提到涉及的操作系统,不pipe你在ping什么,但是肯定可以在系统日志中设置一些操作系统的防火墙,以防止端口访问尝试/拒绝。
这就是说,这不是一个特别好的做法,我想,你想做什么。 如果你想看看你的networking内部的任何一台机器是否是端口扫描,并且没有使用交换机/路由器的方式,那么继续做你想要的防火墙,系统日志和splunk,但是如果你期望端口扫描来自不同的networking,那么您只需要查看入口端口,这将会更容易。
也许回头再给我们提供更多的信息,我们可能会变得更清楚。
系统日志是logging数据的一种手段,Splunk是parsing和search数据的手段。 它们都不能用于检测端口扫描等安全事件。
要检测安全事件,您需要通常称为“IDS” – 入侵检测系统的软件。 该IDS将需要一个networking接口,看到你希望看到的所有stream量。 这是pipe理型交换机上的镜像端口或集线器上的任何端口。
将一个像Snort这样的networking入侵检测嗅探器连接到监控端口。 创build规则来监视端口扫描尝试。 将IDS输出转储到Splunk,以便通过syslog进行分析。